Por que muitos administradores estão usando a política 'Desativar atualização automática de certificados raiz'?

No final de 2012 / início de 2013, houve um problema com atualizações automáticas de certificados raiz. A correção provisória era desabilitar as atualizações automáticas, então, em parte, esse problema é histórico.

A outra causa é o programa Trusted Root Certificate e Root Certificate Distribution, que (para parafrasear Microsoft ) ...

Root certificates are updated on Windows automatically. When a [system] encounters a new root certificate, the Windows certificate chain verification software checks the appropriate Microsoft Update location for the root certificate.

Até agora, tudo bem, mas depois ...

If it finds it, it downloads it to the system. To the user, the experience is seamless. The user does not see any security dialog boxes or warnings. The download happens automatically, behind the scenes.

Quando isso acontece, pode parecer que certs estão sendo adicionados automaticamente ao armazenamento raiz. Tudo isso deixa alguns sysadmins nervosos porque você não pode remover uma CA 'ruim' das ferramentas de gerenciamento de certificados porque elas não estão lá para serem removidas ...

Na verdade, existem maneiras de fazer o windows baixar a lista completa para que possam editá-la como quiserem, mas é comum bloquear as atualizações. Um grande número de administradores de sistema não entendem criptografia ou segurança (geralmente), então seguem a sabedoria recebida (correta ou não) sem questionar e não gostam de fazer mudanças em segurança que não entendem completamente alguma arte negra.

O componente Atualização de Certificados Raiz Automáticos foi projetado para verificar automaticamente a lista de autoridades confiáveis no site do Microsoft Windows Update. Especificamente, há uma lista de autoridades de certificação raiz (CAs) confiáveis armazenadas no computador local. Quando um aplicativo é apresentado a um certificado emitido por uma autoridade de certificação, ele verifica a cópia local da lista de autoridades de certificação raiz confiáveis. Se o certificado não estiver na lista, o componente Atualização Automática de Certificados Raiz entrará em contato com o site Microsoft Windows Update para verificar se uma atualização está disponível. Se a autoridade de certificação tiver sido adicionada à lista da Microsoft de autoridades de certificação confiáveis, seu certificado será automaticamente adicionado ao armazenamento de certificados confiáveis no computador.

Why is it so common to disable updating of root certificates?

A resposta curta é provavelmente que é sobre controle. Se você quiser controlar quais CAs raiz são confiáveis (em vez de usar esse recurso e permitir que a Microsoft faça isso por você), é mais fácil e seguro criar uma lista de CAs raiz que você deseja confiar, distribuí-las aos computadores do seu domínio e bloqueie essa lista. Como as alterações na lista de CAs raiz nas quais uma organização deseja confiar seriam relativamente raras, faz sentido que um administrador deseje revisar e aprovar as alterações, em vez de permitir uma atualização automática.

Para ser completamente franco, se ninguém souber por que essa configuração está habilitada em um determinado ambiente, isso significa que ela não deve ser definida.

What are the potential side effects of enabling updates again?

Computadores com domínio teriam permissão para verificar a lista de CAs confiáveis no site Microsoft Windows Update e potencialmente adicionar novos certificados ao seu armazenamento de certificados confiável.

Se isso for inaceitável para seus clientes / clientes, os certificados poderão ser distribuídos pelo GPO, e eles precisarão incluir seu certificado em qualquer método de distribuição que eles usem atualmente para certificados confiáveis.

Ou você pode sugerir sempre a desativação temporária dessa política específica, para permitir a instalação do seu produto.

Eu não concordaria que seja comum desabilitar isso. Uma maneira melhor de expressar isso seria perguntar por que alguém o desativaria. E uma solução melhor para o seu problema seria o instalador verificar os certificados de CA raiz / intermediários e instalá-los se não estiverem presentes.

O programa de autoridade de certificação raiz confiável é essencial. Uma tonelada de aplicativos simplesmente não funcionaria como esperado se fosse desativada amplamente. Claro, pode haver algumas organizações que desabilitam esse recurso, mas isso realmente depende das organizações, com base em seus requisitos. É uma suposição incorreta de que qualquer aplicativo que exija uma dependência externa (certificado raiz) sempre funcionaria sem testá-lo. Ambos os desenvolvedores de aplicativos e organizações que desabilitam esse recurso possuem a responsabilidade de garantir que a dependência externa (certificado raiz) esteja presente. Isso significa que, se uma organização desativar isso, eles saberão esperar esse problema (ou logo aprenderão a respeito).

É importante notar também que uma finalidade útil do mecanismo de programa de CA Raiz Confiável (instalação dinâmica de certificados de CA raiz) é que não é prático instalar todos ou até mesmo a maioria dos certificados de CA raiz conhecidos / confiáveis. Alguns componentes no Windows quebram se houver muitos certificados instalados, portanto, a única prática viável é instalar apenas os certificados necessários, quando necessários.

link

"O problema é o seguinte: o pacote de segurança SChannel usado para enviar certificados confiáveis aos clientes tem um limite de 16 KB. Portanto, ter muitos certificados no armazenamento pode impedir que os servidores TLS enviem as informações de certificado necessárias; eles começam a enviar, mas para parar quando atingem 16 KB Se os clientes não tiverem as informações de certificado corretas, eles não poderão usar serviços que exigem TLS para autenticação, pois o pacote de atualização de certificado raiz disponível no KB 931125 adiciona manualmente um grande número de certificados à loja. para servidores resulta no armazenamento excedendo o limite de 16 KB e o potencial para falha na autenticação TLS. "

Meu motivo para desativar o certif.service é o seguinte:

Eu tenho muitos sistemas sem conexão com a internet. Além disso, na maioria dos casos, eles não exibem o / kb / mouse, pois são máquinas virtuais em um grande DatastoreServer. Portanto, em todos os casos em que eles precisam de manutenção / modificação, eu uso o Windows RDP para acessá-los. Se você se conectar a uma máquina via RDP, o Windows primeiro verificará as atualizações de certificado online. Se o seu servidor / cliente não tiver internet, ele será interrompido por 10 a 20 segundos antes de continuar a conexão.

Eu faço muitas conexões RDP todos os dias. Economizo horas sem olhar para a mensagem: "protegendo a conexão remota" :) +1 para desabilitar o certif.service!

Eu sei que este é um tópico mais antigo; no entanto, gostaria de enviar uma solução alternativa. Use uma autoridade de certificação (ROOT CA) diferente daquela que você está usando. Em outras palavras, mude o certificado de assinatura para um que tenha uma autoridade de certificação raiz muito mais antiga e aprovada.

A DIGICert oferece isso ao solicitar um certificado. Embora isso possa não ser sua CA raiz padrão na sua conta DIGICert, é uma opção disponível ao enviar o CSR para eles. BTW, eu não trabalho para DIGICert nem tenho qualquer ganho, recomendando-os .. Eu simplesmente sinto essa dor e passei muitas horas em salvar $ 1000 EUA em um certificado barato quando eu poderia ter comprado um certificado mais caro e gasto muito menos tempo lidando com os problemas de suporte. Isto é simplesmente um exemplo. Existem outros provedores de certificados que oferecem a mesma coisa.

99% Compatibility DigiCert Root Certificates are among the most widely-trusted authority certificates in the world. As such, they are automatically recognized by all common web browsers, mobile devices, and mail clients.

Ressalva - se você selecionar a CA raiz correta ao fazer o CSR.