O que causa a instalação automática de autoridades de certificação raiz confiáveis no armazenamento de certificados da máquina local?

Question

O que causa a instalação automática de autoridades de certificação raiz confiáveis no armazenamento de certificados da máquina local?

#1 resposta do (1 votos)

4

Passo o dia inteiro diagnosticando problemas com meus serviços de teste usando HTTPS mútuo. Os serviços são hospedados no IIS 7 em um servidor de teste que executa a edição do Windows Server 2008 Enterprise.

De repente, algumas semanas atrás, todos os serviços de teste pararam de funcionar e qualquer solicitação para esses serviços terminou com o problema 403.7 "Certificado de cliente exigido". Depois de muita pesquisa, encontrei este artigo descrevendo um problema semelhante com o Windows Server 2003.

Em suma, o problema é causado por muitas CAs raiz confiáveis instaladas no armazenamento de certificados da máquina local. Servidor durante mútuo handshake HTTPS envia "lista" de CAs confiáveis para cliente e cliente pode selecionar certificado com base nessa lista (a menos que o site no IIS esteja configurado com CTL, mas que seja para uma pergunta diferente ). O problema é que a lista pode ter apenas 16 KB; portanto, se houver mais CAs, elas simplesmente não serão enviadas ao cliente. Se o certificado de cliente usado for emitido por uma dessas CAs truncadas, ele não será enviado ao servidor.

Depois disso, verifiquei o armazenamento de certificados raiz confiáveis da máquina local e descobri que há mais de 200 CAs raiz confiáveis instaladas. O que é ainda pior: não os instalamos! Eu encontrei um pouco de informação (desculpe não pode encontrá-lo novamente) que essas ACs são instaladas automaticamente através do Windows Update.

A pergunta: Como desativar a instalação de certificados de CA em nosso computador sem desligar o Windows Update?

windows-server-2008 certificate iis-7 certificate-authority windows-update

por Ladislav Mrnka 16.08.2012 / 21:37

1 resposta

Tags windows-server-2008 certificate iis-7 certificate-authority windows-update

Win 8 - como preparar uma imagem para que ela não seja executada na configuração? Autenticação de senha ativada em sshd, agora a autenticação interativa por teclado é interrompida

score 1 · Answer 1

Eu não acho que eles foram todos instalados pelo Windows Update, honestamente. Provavelmente haveria muito mais pessoas tendo esse problema se estivessem, certo?

Eles também podem ser instalados por GPOs e associações de domínio, que é onde eu olharia primeiro.

Mas, antes de procurar, eu gostaria de permitir o uso de HTTPS ... (talvez, a menos que você desconfie ou saiba que você possui CA trusts maliciosos), o que seria mais fácil de ser feito removendo os que você não usa. t quer. Ferramenta Gerenciador de certificados , além de remoções com script na parte do script de inicialização ou desligamento de um GPO.

Eles também podem ser instalados de forma maliciosa e, se esse for o caso, você está seriamente comprometido e eu recomendaria / você precisa começar a limpar cada computador com certificados maliciosos como CAs confiáveis.