Mengapa banyak admin yang menggunakan kebijakan 'Nonaktifkan Pembaruan Sertifikat Root Root'?

Perusahaan saya mendistribusikan Pemasang Windows untuk produk berbasis Server. Sesuai praktik terbaik itu ditandatangani menggunakan sertifikat. Sejalan dengan saran Microsoft, kami menggunakan sertifikat penandatanganan kode GlobalSign , yang menurut Microsoft diakui secara default oleh semua versi Windows Server.

Sekarang, ini semua berfungsi dengan baik kecuali server telah dikonfigurasi dengan Kebijakan Grup: Konfigurasi Komputer / Template Administratif / Sistem / Manajemen Komunikasi Internet / Pengaturan Komunikasi Internet / Nonaktifkan Pembaruan Sertifikat Root Otomatis sebagai Diaktifkan .

Kami menemukan bahwa salah satu penguji beta awal kami berjalan dengan konfigurasi ini yang menghasilkan kesalahan berikut selama pemasangan

File yang diperlukan tidak dapat diinstal karena file kabinet [jalur panjang ke file cab] memiliki tanda tangan digital yang tidak valid. Ini mungkin menunjukkan bahwa file kabinet rusak.

Kami menulis ini sebagai keanehan, setelah semua tidak ada yang bisa menjelaskan mengapa sistem dikonfigurasi seperti ini. Namun, sekarang perangkat lunak tersedia untuk penggunaan umum, tampaknya dua digit (persentase) pelanggan kami dikonfigurasikan dengan pengaturan ini dan tidak ada yang tahu mengapa. Banyak yang enggan mengubah pengaturan.

Kami telah menulis artikel KB untuk pelanggan kami, tetapi kami benar-benar tidak ingin masalah terjadi sama sekali karena kami benar-benar peduli dengan pengalaman pelanggan.

Beberapa hal yang kami perhatikan saat menyelidiki ini:

1. Instalasi Windows Server yang baru tidak menunjukkan sertifikat Globalsign dalam daftar otoritas root tepercaya.
2. Dengan Windows Server yang tidak terhubung ke internet, menginstal perangkat lunak kami berfungsi dengan baik. Pada akhir instalasi, sertifikat Globalsign hadir (tidak diimpor oleh kami). Di latar belakang, Windows muncul untuk menginstalnya secara transparan saat pertama kali digunakan.

Jadi, inilah pertanyaan saya lagi. Mengapa sangat umum untuk menonaktifkan pembaruan sertifikat root? Apa efek samping potensial dari mengaktifkan pembaruan lagi? Saya ingin memastikan bahwa kami dapat memberikan panduan yang tepat kepada pelanggan kami.

Pada akhir 2012 / awal 2013 ada masalah dengan pembaruan sertifikat root otomatis. Perbaikan sementara adalah untuk menonaktifkan pembaruan otomatis, sehingga sebagian masalah ini bersifat historis.

Penyebab lainnya adalah program Sertifikat Root Tepercaya dan Distribusi Sertifikat Root, yang (untuk memparafrasekan Microsoft ) ...

Sertifikat root diperbarui pada Windows secara otomatis. Ketika [sistem] menemukan sertifikat root baru, perangkat lunak verifikasi rantai sertifikat Windows memeriksa lokasi Pembaruan Microsoft yang sesuai untuk sertifikat root.

Sejauh ini, sangat bagus tapi kemudian ...

Jika menemukannya, ia mengunduhnya ke sistem. Bagi pengguna, pengalaman itu mulus. Pengguna tidak melihat kotak dialog atau peringatan keamanan apa pun. Pengunduhan terjadi secara otomatis, di belakang layar.

Ketika ini terjadi, dapat muncul bahwa sertifikat sedang ditambahkan secara otomatis ke toko Root. Semua ini membuat beberapa sysadmin gugup karena Anda tidak dapat menghapus CA 'buruk' dari alat manajemen sertifikat karena mereka tidak ada di sana untuk menghapus ...

Sebenarnya ada cara untuk membuat windows mengunduh daftar lengkap sehingga mereka dapat mengeditnya seperti yang diinginkan tetapi itu umum untuk hanya memblokir pembaruan. Sejumlah besar sysadmin tidak memahami enkripsi atau keamanan (umumnya) sehingga mereka mengikuti kebijaksanaan yang diterima (benar atau sebaliknya) tanpa pertanyaan dan mereka tidak suka membuat perubahan pada hal-hal yang melibatkan keamanan yang mereka tidak sepenuhnya mengerti percaya bahwa itu adalah beberapa seni hitam.

The komponen Automatic Sertifikat Akar Perbarui dirancang untuk secara otomatis memeriksa daftar otoritas terpercaya di situs Microsoft Windows Update Web. Secara khusus, ada daftar otoritas sertifikasi akar tepercaya (CA) yang disimpan di komputer lokal. Ketika sebuah aplikasi disajikan dengan sertifikat yang dikeluarkan oleh CA, itu akan memeriksa salinan lokal dari daftar CA root tepercaya. Jika sertifikat tidak ada dalam daftar, komponen Pembaruan Sertifikat Akar Otomatis akan menghubungi situs Web Pembaruan Microsoft Windows untuk melihat apakah pembaruan tersedia. Jika CA telah ditambahkan ke daftar CA tepercaya dari Microsoft, sertifikatnya akan secara otomatis ditambahkan ke penyimpanan sertifikat tepercaya di komputer.

Mengapa sangat umum untuk menonaktifkan pembaruan sertifikat root?

Jawaban singkatnya mungkin tentang kontrol. Jika Anda ingin mengontrol CA root apa yang tepercaya (daripada menggunakan fitur ini dan membiarkan Microsoft melakukannya untuk Anda), lebih mudah dan paling aman untuk membuat daftar CA root yang ingin Anda percayai, distribusikan ke komputer domain Anda , dan kemudian kunci daftar itu. Karena perubahan pada daftar CA root yang ingin dipercayai oleh suatu organisasi akan relatif jarang terjadi, masuk akal bahwa administrator ingin meninjau dan menyetujui perubahan apa pun daripada membiarkan pembaruan otomatis.

Sejujurnya, jika tidak ada yang tahu mengapa pengaturan ini diaktifkan di lingkungan tertentu, itu berarti tidak boleh diatur.

Apa efek samping potensial dari mengaktifkan pembaruan lagi?

Komputer domain akan diizinkan untuk memeriksa daftar CA tepercaya di Situs Pembaruan Microsoft Windows, dan berpotensi menambahkan sertifikat baru ke dalam penyimpanan sertifikat tepercaya mereka.

Jika ini tidak dapat diterima oleh klien / pelanggan Anda, sertifikat dapat didistribusikan oleh GPO, dan mereka harus memasukkan sertifikat Anda dalam metode distribusi apa pun yang saat ini mereka gunakan untuk sertifikat tepercaya.

Atau Anda selalu dapat menyarankan untuk sementara menonaktifkan kebijakan khusus ini, untuk memungkinkan pemasangan produk Anda.

Saya tidak akan setuju bahwa ini umum untuk menonaktifkan ini. Cara yang lebih baik untuk mengatakannya adalah dengan bertanya mengapa seseorang menonaktifkannya. Dan solusi yang lebih baik untuk masalah Anda adalah installer untuk memeriksa root / sertifikat CA menengah dan menginstalnya jika tidak ada.

Program CA Root Tepercaya sangat penting. Satu TON aplikasi tidak akan berfungsi seperti yang diharapkan jika dimatikan secara luas. Tentu, mungkin ada beberapa organisasi yang menonaktifkan fitur ini, tetapi itu benar-benar tergantung pada organisasi, berdasarkan persyaratan mereka. Ini adalah asumsi yang salah bahwa aplikasi apa pun yang memerlukan ketergantungan eksternal (sertifikat root) akan selalu berfungsi tanpa mengujinya. Baik pengembang aplikasi maupun organisasi yang menonaktifkan fitur ini memiliki tanggung jawab untuk memastikan adanya ketergantungan eksternal (sertifikat root). Itu berarti jika suatu organisasi menonaktifkan ini, mereka tahu untuk mengharapkan masalah ini (atau akan segera mempelajarinya).

Perlu juga dicatat bahwa salah satu tujuan berguna dari mekanisme program CA Root Tepercaya (pemasangan dinamis sertifikat CA root) adalah bahwa tidak praktis untuk menginstal semua atau bahkan sebagian besar sertifikat CA root yang terkenal / tepercaya. Beberapa komponen di Windows rusak jika terlalu banyak sertifikat yang diinstal, jadi satu-satunya praktik yang layak adalah menginstal hanya sertifikat yang diperlukan, saat dibutuhkan.

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

"Masalahnya adalah ini: paket keamanan SChannel yang digunakan untuk mengirim sertifikat tepercaya kepada klien memiliki batas 16KB. Oleh karena itu, memiliki terlalu banyak sertifikat di toko dapat mencegah server TLS mengirim informasi sertifikat yang diperlukan; mereka mulai mengirim tetapi harus berhenti ketika mereka mencapai 16KB. Jika klien tidak memiliki informasi sertifikat yang tepat, mereka tidak dapat menggunakan layanan yang memerlukan TLS untuk otentikasi. Karena paket pembaruan sertifikat root yang tersedia di KB 931125 secara manual menambahkan sejumlah besar sertifikat ke toko, menerapkannya ke hasil server di toko melebihi batas 16KB dan potensi kegagalan otentikasi TLS. "

Alasan saya menonaktifkan certif.service adalah sebagai berikut:

Saya memiliki banyak sistem tanpa koneksi internet. Juga dalam kebanyakan kasus mereka tidak memiliki tampilan / kb / mouse karena pada kenyataannya mereka adalah mesin virtual pada DatastoreServer besar. Jadi dalam semua kasus ketika mereka membutuhkan pemeliharaan / modifikasi, saya menggunakan Windows RDP untuk mendapatkannya. Jika Anda terhubung ke mesin melalui RDP, Windows terlebih dahulu memeriksa pembaruan sertifikat secara online. Jika server / klien Anda tidak memiliki internet, hang selama 10-20 detik sebelum melanjutkan koneksi.

Saya membuat banyak koneksi RDP setiap hari. Saya menghemat waktu karena tidak menatap pesan: "mengamankan koneksi jarak jauh" :) +1 untuk menonaktifkan layanan certif.ser!

Saya tahu ini adalah utas yang lebih lama; namun, saya ingin mengajukan solusi alternatif. Gunakan otoritas sertifikat (ROOT CA) selain yang Anda gunakan. Dengan kata lain, alihkan sertifikat penandatanganan Anda ke yang memiliki CA root jauh lebih tua, yang disetujui.

DIGICert menawarkan ini saat meminta sertifikat. Meskipun ini mungkin bukan CA default root Anda dalam akun DIGICert Anda, ini merupakan opsi yang tersedia saat mengirimkan CSR kepada mereka. BTW, saya tidak bekerja untuk DIGICert juga tidak memiliki keuntungan dengan merekomendasikan mereka .. Saya hanya merasakan rasa sakit ini dan menghabiskan terlalu banyak waktu untuk menghemat $ 1000 US pada sertifikat murah ketika saya bisa membeli sertifikat yang lebih mahal dan menghabiskan banyak lebih sedikit waktu berurusan dengan masalah dukungan. Ini hanyalah sebuah contoh. Ada penyedia sertifikat lain yang menawarkan hal yang sama.

99% Kompatibilitas Sertifikat Akar DigiCert adalah salah satu sertifikat otoritas paling tepercaya di dunia. Dengan demikian, mereka secara otomatis dikenali oleh semua peramban web, perangkat seluler, dan klien email yang umum.

Peringatan - jika Anda memilih CA akar yang benar saat membuat CSR.