Microsoft removeu as atualizações da CA raiz do WSUS em janeiro de 2013. Agora tenho algumas novas instalações do Windows Server 2012 que têm um conjunto insuficiente de CAs raiz (basicamente apenas as próprias CAs da Microsoft). Isso significa que, sempre que nosso aplicativo chamar um serviço da Web https, ele falhará, a menos que eu instale especificamente a CA raiz.
Como nosso aplicativo usa terminação SSL em um balanceador de carga, não preciso me preocupar com a limitação de 16KB SChannel que levou a Microsoft a remover essas atualizações. Gostaria de encontrar um recurso para instalar e atualizar CAs raiz padrão. Alguém sabe de tal recurso?
Aqui está uma imagem das CAs raiz padrão no WS2012.
Parece que isso se deve ao GPO excêntrico que minha empresa usa.
Conforme descrito aqui , a configuração de GPO Configuração do Computador \ Modelos Administrativos \ Sistema \ Gerenciamento de Comunicação da Internet \ Desativar Atualização Automática de Certificados Raiz foi Ativado , o que significa que o sistema operacional não executaria CAs raiz da Microsoft. Definir isso como Desativado corrigiu o problema.
Descobrimos que as CAs raiz estavam desatualizadas em alguns dos nossos servidores Windows 2012 R2.
Depois de investigar isso, parece que a Microsoft lançou um patch para fornecer a capacidade de " Controlando o recurso Atualizar Certificados Raiz para impedir o fluxo de informações de e para a Internet "( artigo da Base de Dados de Conhecimento) ).
Este patch introduz novas chaves de registro para impedir que o Windows Update atualize as CAs raiz junto com outras funcionalidades.
Definir a seguinte chave do Registro como 0 resolve o problema. Os certificados começam a instalar imediatamente após a alteração.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
Embora eu possa ver que os administradores podem querer controlar suas máquinas de atualização sem o seu consentimento, acho que não permitir que as ACs raiz sejam atualizadas é um caso extremo que provavelmente causará mais problemas que corrige e eu ainda não sei por quê a chave do registro foi definida em nossos servidores.
Há discussão sobre essas chaves do Registro e outras coisas que você pode fazer em servidores Windows 2012 R2 aqui
Se ninguém mais disser, eu irei. A Microsoft errou alguns anos atrás e publicou uma atualização para as CAs de raiz confiável que quebrou qualquer máquina que tivesse a sorte de atualizar antes que a Microsoft retirasse a atualização. Até hoje ainda lidei com esse problema.
Como eu entendo as implicações de segurança, não estou fornecendo links diretos para esses problemas. Em vez disso, é isso que alguém procura no Google para encontrar as informações relacionadas:
Atualização KB3004394 quebra o Certificado Raiz no Windows 7 / Windows Server 2008 R2
A Microsoft lança o patch 'Silver Bullet' KB 3024777 para eliminar o KB 3004394
E o que eu experimentei e até hoje causa inúmeros problemas:
Problemas de comunicação SSL / TLS após a instalação do KB 931125
This package installed more than 330 Third-party Root Certication Authorities. Currently, the maximum size of the trusted certificate authorities list that the Schannel security package supports is 16 kilobytes (KB). Having a large amount of Third-party Root Certication Authorities will go over the 16k limit, and you will experience TLS/SSL communication problems.
Outra razão é porque a Microsoft desconfiou de várias ACs raiz ao longo dos anos. Administradores preguiçosos simplesmente desabilitarão esse recurso para seus servidores de intranet e nunca resolverão o problema de raiz - assinar novamente tudo que não é mais confiável.
De qualquer forma, a resposta simples é usar um certificado de assinatura de código diferente.