Ificates ऑटोमेटिक रूट सर्टिफिकेट अपडेट को बंद करें ’नीति का उपयोग करने के लिए बहुत से प्रवेश क्यों हैं?

40

मेरी कंपनी एक सर्वर आधारित उत्पाद के लिए एक Windows इंस्टालर वितरित करती है। सर्वोत्तम प्रथाओं के अनुसार यह एक प्रमाण पत्र का उपयोग करके हस्ताक्षरित है। के साथ लाइन में माइक्रोसॉफ्ट के सलाह हम एक का उपयोग ग्लोबलसाइन कोड हस्ताक्षर प्रमाण पत्र है, जो माइक्रोसॉफ्ट का दावा है सभी विंडोज सर्वर संस्करण द्वारा डिफ़ॉल्ट रूप से मान्यता प्राप्त है।

अब, यह सब तब तक अच्छी तरह से काम करता है जब तक कि सर्वर को ग्रुप पॉलिसी के साथ कॉन्फ़िगर नहीं किया गया है : कंप्यूटर कॉन्फ़िगरेशन / प्रशासनिक टेम्प्लेट / सिस्टम / इंटरनेट संचार प्रबंधन / इंटरनेट संचार सेटिंग्स / सक्षम के रूप में स्वचालित रूट प्रमाणपत्र अद्यतन बंद करें ।

हमने पाया कि हमारे शुरुआती बीटा टेस्टर्स में से एक इस कॉन्फ़िगरेशन के साथ चल रहा था जिसके परिणामस्वरूप स्थापना के दौरान निम्न त्रुटि हुई

आवश्यक फ़ाइल को इंस्टॉल नहीं किया जा सकता क्योंकि कैबिनेट फ़ाइल [कैब फ़ाइल के लिए लंबा रास्ता] में एक अवैध डिजिटल हस्ताक्षर है। यह इंगित कर सकता है कि कैबिनेट फ़ाइल भ्रष्ट है।

हमने इसे एक विषमता के रूप में लिखा था, आखिर कोई भी यह समझाने में सक्षम नहीं था कि सिस्टम को इस तरह क्यों कॉन्फ़िगर किया गया था। हालाँकि, अब यह सॉफ्टवेयर सामान्य उपयोग के लिए उपलब्ध है, ऐसा प्रतीत होता है कि हमारे ग्राहकों का दोहरा अंक (प्रतिशत) इस सेटिंग के साथ कॉन्फ़िगर किया गया है और कोई नहीं जानता कि क्यों। कई लोग सेटिंग बदलने से हिचकते हैं।

हमने अपने ग्राहकों के लिए एक KB लेख लिखा है , लेकिन हम वास्तव में समस्या बिल्कुल नहीं चाहते हैं क्योंकि हम वास्तव में ग्राहक अनुभव के बारे में परवाह करते हैं।

इसकी पड़ताल करते हुए हमने देखी कुछ बातें:

एक ताजा विंडोज सर्वर इंस्टॉलेशन विश्वसनीय रूट अथॉरिटीज की सूची में ग्लोबालसिन सर्टिफिकेट नहीं दिखाता है।
विंडोज़ सर्वर इंटरनेट से नहीं जुड़ा होने के कारण, हमारे सॉफ़्टवेयर को स्थापित करना ठीक काम करता है। स्थापना के अंत में Globalsign प्रमाण पत्र मौजूद है (हमारे द्वारा आयात नहीं किया गया है)। पृष्ठभूमि में विंडोज पहले उपयोग पर पारदर्शी रूप से इसे स्थापित करने के लिए प्रकट होता है।

तो, यहाँ मेरा सवाल फिर से है। रूट प्रमाणपत्र के अद्यतन को अक्षम करना इतना आम क्यों है? अपडेट को फिर से सक्षम करने के संभावित दुष्प्रभाव क्या हैं? मैं यह सुनिश्चित करना चाहता हूं कि हम अपने ग्राहकों को उचित मार्गदर्शन प्रदान कर सकें।

windows group-policy certificate

— जीरो रितमीजेर
स्रोत

14

चेतावनी या प्रलेखन के बिना सभी प्रणालियों पर दिखाई देने वाले नए रूट प्रमाणपत्र कुछ सुरक्षा लोगों के लिए एक चिंता का विषय हैं। वे केवल Microsoft पर भरोसा नहीं करते हैं कि कम से कम कुछ स्वयं करने के बिना पूरी तरह से नए रूट प्रमाणपत्रों को वीटी करने के लिए। जब Microsoft 18 नए रूट प्रमाणपत्रों को धक्का देता है, तो किसी भी नोटिस को हटाने जैसे मामलों में मदद नहीं करता है।

— ब्रायन

क्या आप जाँच नहीं कर सकते हैं कि प्रमाणपत्र प्रणाली में उपलब्ध है और अद्यतन करने में अक्षम होने पर आपकी वेबसाइट से आपके प्रमाणपत्र को डाउनलोड करने की पेशकश करता है?

— फाल्को

@falco Nop, इस तरह की चीजों का पता लगाने के लिए कस्टम तर्क चलाने से पहले हमें प्रमाण पत्र होना चाहिए। यह डिजिटली हस्ताक्षर करने वाले इंस्टॉलर का पूरा बिंदु है। इसके अलावा, अगर एडमीटर्स ने रूट सीट्स को अपडेट करना अक्षम कर दिया है, तो वे किसी तीसरे पक्ष के विक्रेता को ऐसा करने से खुश नहीं होने वाले हैं।

— जीरो रितमीजेर 15

फिर आप एक वेबसाइट प्रदान कर सकते हैं जो प्रमाण पत्र के लिए जांच करती है, जिसे उपयोगकर्ता आपके उत्पाद को स्थापित करने से पहले देख सकते हैं? जैसे "विज़िट .... यह जांचने के लिए कि क्या आपका सिस्टम संगत है" और प्रमाण पत्र को स्थापित करने के लिए वेबसाइट पर चरणों को प्रदर्शित करें यदि आप पता लगाते हैं कि यह मौजूद नहीं है?

— फाल्को

1

@falco जो हमारे पास है (कुछ हद तक), मेरे प्रश्न में KB आलेख का लिंक देखें। इसके अलावा ... लोग निर्देश नहीं पढ़ते हैं।

— जीरोन रितमीजेर 15

33

2012 के अंत / 2013 की शुरुआत में स्वचालित रूट प्रमाणपत्र अपडेट के साथ एक समस्या थी। अंतरिम निर्धारण स्वचालित अपडेट को अक्षम करना था, इसलिए आंशिक रूप से यह मुद्दा ऐतिहासिक है।

दूसरा कारण ट्रस्टेड रूट सर्टिफिकेट प्रोग्राम और रूट सर्टिफिकेट डिस्ट्रीब्यूशन है, जो ( Microsoft को पैराफेयर करने के लिए ) ...

रूट प्रमाणपत्र स्वचालित रूप से विंडोज पर अपडेट किए जाते हैं। जब [सिस्टम] एक नए रूट प्रमाणपत्र का सामना करता है, तो Windows प्रमाणपत्र श्रृंखला सत्यापन सॉफ़्टवेयर रूट प्रमाणपत्र के लिए उपयुक्त Microsoft अद्यतन स्थान की जाँच करता है।

अब तक, इतना अच्छा लेकिन फिर ...

यदि यह इसे पाता है, यह इसे सिस्टम में डाउनलोड करता है। उपयोगकर्ता के लिए, अनुभव निर्बाध है। उपयोगकर्ता को कोई सुरक्षा संवाद बॉक्स या चेतावनी नहीं दिखाई देती है। डाउनलोड अपने आप होता है, पर्दे के पीछे।

जब ऐसा होता है तो यह प्रकट हो सकता है कि सीरियलों को स्वचालित रूप से रूट स्टोर में जोड़ा जा रहा है। यह सब कुछ sysadmins को परेशान करता है क्योंकि आप प्रमाणपत्र प्रबंधन उपकरण से 'खराब' CA को नहीं निकाल सकते क्योंकि वे हटाने के लिए नहीं हैं ...

वास्तव में विंडोज को पूरी सूची डाउनलोड करने के तरीके हैं ताकि वे इसे संपादित कर सकें जैसे वे चाहें, लेकिन अपडेट को ब्लॉक करना आम है। Sysadmins की एक बड़ी संख्या एन्क्रिप्शन या सुरक्षा (आम तौर पर) को नहीं समझती है, इसलिए वे बिना किसी प्रश्न के प्राप्त ज्ञान (सही या अन्यथा) का पालन करते हैं और उन्हें सुरक्षा से जुड़ी चीजों में बदलाव करना पसंद नहीं है, जिसे वे पूरी तरह से समझना नहीं मानते हैं कुछ काली कला।

— जेम्स स्नेल
स्रोत

13

A great number of sysadmins [...] don't like making changes to things involving security that they don't fully understand believing it to be some black art.

हाँ। दुखद लेकिन सत्य।

— हॉपलेसनब

8

@ HopelessN00b तो आप बल्कि वे स्वतंत्र रूप से सुरक्षा से जुड़े कॉन्फ़िगरेशन परिवर्तन करते हैं जो वे पूरी तरह से नहीं समझते हैं? यह मेरे लिए एक दूर का प्रस्ताव है।

— जोशुआ शीयर

11

@JoshuaShearer मैं उन्हें समझना या खुद को sysadmins कहना बंद कर दूंगा।

— केविन क्रुमविडे

2

@JoshuaShearer जैसा केविन ने कहा, अगर उन्हें सुरक्षा समझ में नहीं आती है, तो उन्हें सिस्मैडिन्स नहीं होना चाहिए, और मुझे लगता है कि यह किसी भी चीज़ का व्यवस्थापक होने के लिए एक डरावना प्रस्ताव है जो सोचता है कि सुरक्षा कुछ काला जादू या वूडो है।

— हॉपलेसनब

2

@JoshuaShearer - चूंकि वे नहीं समझते, यह यकीनन लूट है क्योंकि उन्हें पता नहीं चलेगा कि उनके पास पहले से ही सही है या नहीं ... कई छोटे-मध्यम आकार के व्यवसायों में 'एडमिन' है "good with computers"क्योंकि उनके पास नवीनतम चमकदार iThings हैं एक वास्तविक पेशेवर के बजाय।

— जेम्स स्नेल

11

स्वत: रूट प्रमाणपत्र अद्यतन घटक स्वचालित रूप से माइक्रोसॉफ्ट विंडोज अद्यतन वेब साइट पर भरोसा अधिकारियों की सूची की जांच करने के लिए बनाया गया है। विशेष रूप से, स्थानीय कंप्यूटर पर संग्रहीत विश्वसनीय प्रमाणीकरण प्राधिकारी (CAs) की एक सूची है। जब कोई एप्लिकेशन CA द्वारा जारी प्रमाण पत्र के साथ प्रस्तुत किया जाता है, तो वह विश्वसनीय रूट CA सूची की स्थानीय प्रतिलिपि की जांच करेगा। यदि प्रमाण पत्र सूची में नहीं है, तो स्वचालित रूट प्रमाणपत्र अद्यतन घटक Microsoft Windows अद्यतन वेब साइट से संपर्क करेगा यह देखने के लिए कि क्या कोई अद्यतन उपलब्ध है। यदि CA को विश्वसनीय CA की Microsoft सूची में जोड़ा गया है, तो इसका प्रमाणपत्र स्वचालित रूप से कंप्यूटर पर विश्वसनीय प्रमाणपत्र संग्रह में जोड़ दिया जाएगा।

रूट प्रमाणपत्र के अद्यतन को अक्षम करना इतना आम क्यों है?

संक्षिप्त उत्तर शायद यह है कि यह नियंत्रण के बारे में है। यदि आप यह नियंत्रित करना चाहते हैं कि कौन से मूल CA पर भरोसा किया जाता है (इस सुविधा का उपयोग करने और Microsoft को आपके लिए करने के बजाय), तो यह आसान और सबसे सुरक्षित है कि आप जिन CA CA की सूची पर भरोसा करना चाहते हैं, उन्हें अपने डोमेन कंप्यूटर पर वितरित करें , और फिर उस सूची को लॉक करें। चूंकि रूट सीए की सूची में परिवर्तन करना चाहता है, जो संगठन पर भरोसा करना दुर्लभ है, यह एक निश्चित मात्रा में समझ में आता है कि एक व्यवस्थापक स्वत: अद्यतन की अनुमति देने के बजाय किसी भी परिवर्तन की समीक्षा और अनुमोदन करना चाहेगा।

पूरी तरह से फ्रैंक होने के लिए, अगर कोई नहीं जानता कि यह सेटिंग किसी दिए गए वातावरण में क्यों सक्षम है, तो इसका मतलब है कि इसे सेट नहीं किया जाना चाहिए।

अपडेट को फिर से सक्षम करने के संभावित दुष्प्रभाव क्या हैं?

डोमेन कंप्यूटर्स को Microsoft Windows अद्यतन साइट पर विश्वसनीय CA की सूची के विरुद्ध जाँच करने की अनुमति दी जाएगी, और संभवतः उनके विश्वसनीय प्रमाणपत्र स्टोर में नए प्रमाणपत्र जोड़े जाएंगे।

यदि यह आपके ग्राहकों / ग्राहकों के लिए अस्वीकार्य है, तो प्रमाणपत्र GPO द्वारा वितरित किए जा सकते हैं, और उन्हें आपके प्रमाणपत्र को वर्तमान में विश्वसनीय प्रमाणपत्रों के लिए उपयोग होने वाली वितरण पद्धति में शामिल करने की आवश्यकता होगी।

या आप हमेशा अपने उत्पाद की स्थापना की अनुमति देने के लिए, इस विशेष नीति को अस्थायी रूप से अक्षम करने का सुझाव दे सकते हैं।

— HopelessN00b
स्रोत

3

मैं इस बात से सहमत नहीं होगा कि इसे निष्क्रिय करना आम बात है। वाक्यांश का एक बेहतर तरीका यह पूछना होगा कि कोई इसे अक्षम क्यों करेगा। और आपकी समस्या के लिए एक बेहतर समाधान यह होगा कि इंस्टॉलर रूट / इंटरमीडिएट CA प्रमाणपत्रों की जांच करें और यदि मौजूद नहीं हैं तो उन्हें स्थापित करें।

ट्रस्टेड रूट सीए कार्यक्रम आवश्यक है। अनुप्रयोगों का एक TON यह उम्मीद के मुताबिक काम नहीं करेगा कि इसे व्यापक रूप से बंद कर दिया गया है। ज़रूर, कुछ संगठन हो सकते हैं जो इस सुविधा को अक्षम करते हैं, लेकिन यह वास्तव में संगठनों पर निर्भर है, उनकी आवश्यकताओं के आधार पर। यह एक त्रुटिपूर्ण धारणा है कि किसी भी एप्लिकेशन को बाहरी निर्भरता (रूट सर्टिफिकेट) की आवश्यकता होती है, वह हमेशा बिना परीक्षण के काम करेगा। इस सुविधा को अक्षम करने वाले अनुप्रयोगों और संगठनों के दोनों डेवलपर्स बाहरी निर्भरता (रूट प्रमाणपत्र) सुनिश्चित करने की जिम्मेदारी मौजूद हैं। इसका मतलब है कि यदि कोई संगठन इसे अक्षम करता है, तो वे इस मुद्दे की उम्मीद करना जानते हैं (या जल्द ही इसके बारे में जानेंगे)।

यह भी ध्यान देने योग्य है कि ट्रस्टेड रूट सीए प्रोग्राम तंत्र (रूट सीए प्रमाणपत्रों की गतिशील स्थापना) का एक उपयोगी उद्देश्य यह है कि सभी या यहां तक कि अधिकांश प्रसिद्ध / विश्वसनीय रूट सीए प्रमाणपत्रों को स्थापित करना व्यावहारिक नहीं है। विंडोज में कुछ घटक टूट जाते हैं यदि बहुत सारे प्रमाणपत्र स्थापित हैं, तो केवल व्यवहार्य अभ्यास केवल उन प्रमाणपत्रों को स्थापित करना है जिनकी आवश्यकता है, जब उन्हें आवश्यकता होती है।

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

"मुद्दा यह है: ग्राहकों को विश्वसनीय प्रमाण पत्र भेजने के लिए उपयोग की जाने वाली SChannel सुरक्षा पैकेज की सीमा 16KB है। इसलिए, स्टोर में बहुत अधिक प्रमाण पत्र रखने से TLS सर्वरों को आवश्यक प्रमाणपत्र जानकारी भेजने से रोका जा सकता है; वे भेजना शुरू कर देते हैं लेकिन जब रुकना होता है; वे 16KB तक पहुँचते हैं। यदि क्लाइंट के पास सही प्रमाण पत्र की जानकारी नहीं है, तो वे प्रमाणीकरण के लिए TLS की आवश्यकता वाली सेवाओं का उपयोग नहीं कर सकते हैं। क्योंकि KB 931125 में उपलब्ध रूट प्रमाणपत्र अद्यतन पैकेज मैन्युअल रूप से स्टोर पर बड़ी संख्या में प्रमाण पत्र जोड़ता है, इसे सर्वर परिणामों पर लागू करता है। स्टोर में 16KB की सीमा और असफल TLS प्रमाणीकरण की क्षमता से अधिक है। "

— ग्रेग अस्का
स्रोत

2

आपके उत्तर के लिए धन्यवाद, लेकिन हमारे वास्तविक दुनिया के अनुभव के आधार पर यह सामान्य है और मुझे नहीं लगता कि किसी भी सर्वर व्यवस्थापक को हमारे लिए एक रूट प्रमाणपत्र स्थापित करने में खुशी होगी अगर उन्होंने माइक्रोसॉफ्ट के साथ इस पर भी भरोसा नहीं करने का निर्णय लिया है। इसके अलावा .... हमारा इंस्टॉलर बिना

— सर्टिफिकेट के

समझ में आया, लेकिन आपने यह भी सीखा कि आप बाहरी निर्भरता का परीक्षण करते हैं, इसे स्थापना के लिए दस्तावेज करते हैं, और ग्राहक को आवश्यकता का संचार करते हैं। यह वास्तविक दुनिया का अनुभव है। मुझे संदेह है कि आपका ग्राहक आधार किसी निष्कर्ष पर पहुंचने के लिए अनुभवजन्य डेटा के रूप में अर्हता प्राप्त करेगा कि यह "सामान्य" है कि यह सुविधा अक्षम है।

— ग्रेग आस्क्यू

@ मिहिंबी: एक व्यावहारिक समाधान के रूप में, यदि आप स्वचालित रूट प्रमाणपत्र अद्यतन की अनुमति नहीं देना चाहते हैं, तो आप आवश्यक प्रमाणपत्र को मैन्युअल रूप से स्थापित करने के लिए व्यवस्थापक को निर्देश प्रदान कर सकते हैं।

— इल्मरी करोनें

@ इल्मारीकरोनें, हम पहले ही कर चुके हैं। किसी कारण से यह हमेशा काम नहीं करता है, तब भी जब वे इसे सही स्टोर में आयात करते हैं। शायद यह कई सर्वरों से जुड़ा हुआ है जो इंटरनेट से जुड़ा नहीं है, इसलिए वे प्रमाणपत्र की वैधता को सत्यापित नहीं कर सकते हैं।

— जीरो रीतमीजर

3

Certif.service को अक्षम करने का मेरा कारण इस प्रकार है:

मेरे पास बिना इंटरनेट कनेक्शन के कई सिस्टम हैं। इसके अलावा ज्यादातर मामलों में उनके पास डिस्प्ले / kb / माउस की कमी होती है क्योंकि वे एक बड़े डेटास्टोर सर्वर पर वर्चुअल मशीन होते हैं। इसलिए सभी मामलों में जब उन्हें रखरखाव / संशोधन की आवश्यकता होती है तो मैं उन्हें प्राप्त करने के लिए विंडोज आरडीपी का उपयोग करता हूं। यदि आप RDP के माध्यम से किसी मशीन से जुड़ते हैं, तो Windows पहले प्रमाणपत्र अपडेट ऑनलाइन चेक करता है। यदि आपके सर्वर / क्लाइंट के पास इंटरनेट नहीं है, तो यह कनेक्शन जारी रखने से पहले 10-20 सेकंड तक लटका रहता है।

मैं प्रत्येक दिन बहुत सारे RDP कनेक्शन बनाता हूं। मैं संदेश को घूर नहीं पाने पर घंटों बचा लेता हूं: "दूरस्थ कनेक्शन को सुरक्षित करना" :) सर्टिफिकेट को अक्षम करने के लिए +1!

— Tommie84
स्रोत

हालांकि मैं समझता हूं, यह एक कठिन कारण है :-) ऐसा करने के बेहतर तरीके हैं। मैं एक समान समस्या में भाग गया (SharePoint जाँच प्रमाणपत्र के साथ और परिणाम के रूप में धीमा) एक साल पहले। आपको कम से कई समाधान और समाधान पा सकते हैं blog.muhimbi.com/2009/04/new-approach-to-solve-sharepoints.html

— जेरोन Ritmeijer

0

मुझे पता है कि यह एक पुराना धागा है; हालाँकि, मैं एक वैकल्पिक समाधान प्रस्तुत करना चाहूंगा। एक सर्टिफिकेट अथॉरिटी (ROOT CA) का उपयोग करें, जो आप उपयोग कर रहे हैं, उसके अलावा। दूसरे शब्दों में, अपने हस्ताक्षरित प्रमाणपत्र को एक पुराने, स्वीकृत रूट CA पर स्विच करें।

सर्टिफिकेट का अनुरोध करने पर DIGICert यह पेशकश करता है। हालांकि यह आपके डिजीटल खाते के भीतर आपका डिफ़ॉल्ट रूट सीए नहीं हो सकता है, लेकिन सीएसआर जमा करते समय यह एक विकल्प उपलब्ध है। BTW, मैं DIGICert के लिए काम नहीं करता हूं और न ही मुझे उनकी सिफारिश करके कोई फायदा हुआ है .. मैं बस इस दर्द को महसूस करता हूं और एक सस्ते सर्टिफिकेट पर $ 1000 यूएस को बचाने के लिए कई घंटे बिताए हैं जब मैं एक अधिक महंगा प्रमाण पत्र खरीद सकता था और बहुत खर्च कर सकता था समर्थन के मुद्दों से निपटने में कम समय। यह तो एक उदाहरण मात्र है। एक ही बात की पेशकश करने वाले अन्य प्रमाण पत्र प्रदाता हैं।

99% संगतता DigiCert रूट प्रमाणपत्र दुनिया में सबसे व्यापक रूप से विश्वसनीय प्राधिकारी प्रमाणपत्रों में से हैं। जैसे, वे सभी सामान्य वेब ब्राउज़र, मोबाइल डिवाइस और मेल क्लाइंट द्वारा स्वचालित रूप से पहचाने जाते हैं।

कैविएट - यदि आप सीएसआर बनाते समय सही रूट सीए का चयन करते हैं।

— एडविन
स्रोत