¿Por qué muchos administradores utilizan la política "Desactivar actualización automática de certificados raíz"?

Mi empresa distribuye un instalador de Windows para un producto basado en servidor. Según las mejores prácticas, se firma con un certificado. De acuerdo con el consejo de Microsoft, utilizamos un certificado de firma de código GlobalSign , que Microsoft afirma que es reconocido por defecto por todas las versiones de Windows Server.

Ahora, todo esto funciona bien a menos que un servidor se haya configurado con la Política de grupo: Configuración de la computadora / Plantillas administrativas / Sistema / Administración de comunicación de Internet / Configuración de comunicación de Internet / Desactivar la actualización automática del certificado raíz como habilitada .

Descubrimos que uno de nuestros primeros beta testers se estaba ejecutando con esta configuración, lo que resultó en el siguiente error durante la instalación

No se puede instalar un archivo requerido porque el archivo del gabinete [ruta larga al archivo del gabinete] tiene una firma digital no válida. Esto puede indicar que el archivo del gabinete está dañado.

Describimos esto como una rareza, después de todo, nadie pudo explicar por qué el sistema se configuró de esta manera. Sin embargo, ahora que el software está disponible para uso general, parece que un doble dígito (porcentaje) de nuestros clientes está configurado con esta configuración y nadie sabe por qué. Muchos son reacios a cambiar la configuración.

Hemos escrito un artículo de KB para nuestros clientes, pero realmente no queremos que el problema ocurra, ya que realmente nos importa la experiencia del cliente.

Algunas cosas que hemos notado al investigar esto:

1. Una nueva instalación de Windows Server no muestra el certificado Globalsign en la lista de autoridades raíz de confianza.
2. Con Windows Server no conectado a Internet, la instalación de nuestro software funciona bien. Al final de la instalación, el certificado Globalsign está presente (no importado por nosotros). En segundo plano, Windows parece instalarlo de forma transparente en el primer uso.

Entonces, aquí está mi pregunta nuevamente. ¿Por qué es tan común deshabilitar la actualización de certificados raíz? ¿Cuáles son los posibles efectos secundarios de habilitar actualizaciones nuevamente? Quiero asegurarme de que podemos proporcionar a nuestros clientes la orientación adecuada.

A finales de 2012 / principios de 2013 hubo un problema con las actualizaciones automáticas de certificados raíz. La solución provisional fue deshabilitar las actualizaciones automáticas, por lo que en parte este problema es histórico.

La otra causa es el programa Trusted Root Certificate y Root Certificate Distribution, que (parafraseando a Microsoft ) ...

Los certificados raíz se actualizan en Windows automáticamente. Cuando un [sistema] encuentra un nuevo certificado raíz, el software de verificación de la cadena de certificados de Windows verifica la ubicación apropiada de Microsoft Update para el certificado raíz.

Hasta ahora, todo bien, pero entonces ...

Si lo encuentra, lo descarga al sistema. Para el usuario, la experiencia es perfecta. El usuario no ve ningún cuadro de diálogo de seguridad o advertencias. La descarga se realiza automáticamente, detrás de escena.

Cuando esto sucede, puede parecer que los certificados se agregan automáticamente a la tienda Root. Todo esto pone nerviosos a algunos administradores de sistemas, ya que no se puede eliminar una CA 'mala' de las herramientas de administración de certificados porque no están allí para eliminar ...

En realidad, hay maneras de hacer que Windows descargue la lista completa para que puedan editarla como lo deseen, pero es común simplemente bloquear las actualizaciones. Una gran cantidad de administradores de sistemas no entienden el cifrado o la seguridad (en general), por lo que siguen la sabiduría recibida (correcta o no) sin cuestionarlos y no les gusta hacer cambios en cosas que involucran seguridad que no entienden completamente creyendo que es algo de arte negro

El componente Actualización automática de certificados raíz está diseñado para verificar automáticamente la lista de autoridades confiables en el sitio web de Microsoft Windows Update. Específicamente, hay una lista de autoridades de certificación raíz (CA) confiables almacenadas en la computadora local. Cuando una aplicación se presenta con un certificado emitido por una CA, verificará la copia local de la lista de CA raíz de confianza. Si el certificado no está en la lista, el componente Actualización automática de certificados raíz se comunicará con el sitio web de Microsoft Windows Update para ver si hay una actualización disponible. Si la CA se ha agregado a la lista de Microsoft de CA confiables, su certificado se agregará automáticamente al almacén de certificados de confianza en la computadora.

¿Por qué es tan común deshabilitar la actualización de certificados raíz?

La respuesta corta es probablemente que se trata de control. Si desea controlar en qué CA raíz son confiables (en lugar de usar esta función y dejar que Microsoft lo haga por usted), es más fácil y seguro crear una lista de CA raíz en las que desea confiar, distribúyalas en sus equipos de dominio. y luego bloquea esa lista. Dado que los cambios en la lista de CA raíz en las que una organización desea confiar serían relativamente raros, tiene cierto sentido que un administrador quiera revisar y aprobar cualquier cambio en lugar de permitir una actualización automática.

Para ser completamente franco, si nadie sabe por qué esta configuración está habilitada en un entorno dado, eso significa que no debe configurarse.

¿Cuáles son los posibles efectos secundarios de habilitar actualizaciones nuevamente?

Se permitiría a las computadoras de dominio verificar con la lista de CA confiables en el sitio de actualización de Microsoft Windows, y potencialmente agregar nuevos certificados en su almacén de certificados de confianza.

Si esto es inaceptable para sus clientes / clientes, los certificados pueden ser distribuidos por GPO, y tendrían que incluir su certificado en cualquier método de distribución que usen actualmente para certificados confiables.

O siempre puede sugerir que deshabilite temporalmente esta política en particular para permitir la instalación de su producto.

No estaría de acuerdo en que es común deshabilitar esto. Una mejor manera de expresarlo sería preguntar por qué alguien lo deshabilitaría. Y una mejor solución para su problema sería que el instalador verifique los certificados de CA raíz / intermedios y los instale si no están presentes.

El programa Trusted Root CA es esencial. Una TONELADA de aplicaciones simplemente no funcionaría como se esperaba si se desactivara ampliamente. Claro, puede haber algunas organizaciones que deshabiliten esta función, pero eso depende realmente de las organizaciones, según sus requisitos. Es una suposición errónea que cualquier aplicación que requiera una dependencia externa (certificado raíz) siempre funcionaría sin probarla. Tanto los desarrolladores de aplicaciones como las organizaciones que deshabilitan esta característica son responsables de garantizar la presencia de la dependencia externa (certificado raíz). Eso significa que si una organización deshabilita esto, saben que esperan este problema (o pronto lo aprenderán).

También vale la pena señalar que un propósito útil del mecanismo del programa Trusted Root CA (instalación dinámica de certificados de CA raíz) es que no es práctico instalar todos o incluso la mayoría de los certificados de CA raíz conocidos / confiables. Algunos componentes en Windows se rompen si hay demasiados certificados instalados, por lo que la única práctica factible es instalar solo los certificados que se necesitan, cuando se necesitan.

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

"El problema es este: el paquete de seguridad SChannel utilizado para enviar certificados confiables a los clientes tiene un límite de 16 KB. Por lo tanto, tener demasiados certificados en la tienda puede evitar que los servidores TLS envíen la información necesaria del certificado; comienzan a enviar pero tienen que detenerse cuando alcanzan los 16 KB. Si los clientes no tienen la información de certificado correcta, no pueden usar los servicios que requieren TLS para la autenticación. Debido a que el paquete de actualización de certificado raíz disponible en KB 931125 agrega manualmente una gran cantidad de certificados a la tienda, aplicándolo a los resultados de los servidores en la tienda que excede el límite de 16 KB y el potencial de autenticación fallida de TLS ".

Mi razón para deshabilitar el servicio certif.service es la siguiente:

Tengo muchos sistemas sin conexión a internet. Además, en la mayoría de los casos carecen de display / kb / mouse debido al hecho de que son máquinas virtuales en un gran DatastoreServer. Entonces, en todos los casos cuando necesitan mantenimiento / modificación, utilizo Windows RDP para llegar a ellos. Si se conecta a una máquina mediante RDP, Windows primero verifica las actualizaciones de certificados en línea. Si su servidor / cliente no tiene internet, se cuelga durante 10-20 segundos antes de continuar la conexión.

Hago muchas conexiones RDP cada día. Ahorro horas al no mirar el mensaje: "asegurar la conexión remota" :) +1 por deshabilitar certif.service.

Sé que este es un hilo antiguo; Sin embargo, me gustaría presentar una solución alternativa. Utilice una autoridad de certificación (CA RAÍZ) distinta de la que está utilizando. En otras palabras, cambie su certificado de firma a uno que tenga una CA raíz mucho más antigua y aprobada.

DIGICert ofrece esto cuando solicita un certificado. Si bien esta podría no ser su CA raíz predeterminada dentro de su cuenta DIGICert, es una opción disponible al enviarles la CSR. Por cierto, no trabajo para DIGICert ni tengo ninguna ganancia al recomendarlos. Simplemente siento este dolor y he pasado demasiadas horas ahorrando $ 1000 en un certificado barato cuando podría haber comprado un certificado más caro y gastar mucho menos tiempo lidiando con los problemas de soporte. Esto es simplemente un ejemplo. Hay otros proveedores de certificados que ofrecen lo mismo.

99% de compatibilidad Los certificados raíz DigiCert se encuentran entre los certificados de autoridad más confiables del mundo. Como tal, son reconocidos automáticamente por todos los navegadores web, dispositivos móviles y clientes de correo comunes.

Advertencia: si selecciona la CA raíz correcta al hacer la CSR.