सवाल 'स्वचालित रूट प्रमाण पत्र अद्यतन बंद करें' नीति का उपयोग कर कई व्यवस्थापक क्यों हैं?


मेरी कंपनी एक सर्वर आधारित उत्पाद के लिए एक विंडोज इंस्टालर वितरित करता है। सर्वोत्तम प्रथाओं के अनुसार यह प्रमाण पत्र का उपयोग करके हस्ताक्षरित है। लाइन के साथ में माइक्रोसॉफ्ट की सलाह हम एक का उपयोग करते हैं ग्लोबलसाइन कोड हस्ताक्षर प्रमाणपत्र, जो माइक्रोसॉफ्ट का दावा डिफ़ॉल्ट रूप से सभी विंडोज सर्वर संस्करणों द्वारा मान्यता प्राप्त है।

अब, यह तब तक अच्छी तरह से काम करता है जब तक कोई सर्वर कॉन्फ़िगर नहीं किया गया हो समूह नीति: कंप्यूटर कॉन्फ़िगरेशन / प्रशासनिक टेम्पलेट्स / सिस्टम / इंटरनेट संचार प्रबंधन / इंटरनेट संचार सेटिंग्स / स्वचालित रूट प्रमाणपत्र अद्यतन बंद करें जैसा सक्रिय

हमने पाया कि हमारे प्रारंभिक बीटा टेस्टर्स में से एक इस कॉन्फ़िगरेशन के साथ चल रहा था जिसके परिणामस्वरूप स्थापना के दौरान निम्न त्रुटि हुई

एक फ़ाइल जो आवश्यक है स्थापित नहीं की जा सकती क्योंकि कैबिनेट फ़ाइल [कैब फ़ाइल के लिए लंबा पथ] में एक अवैध डिजिटल हस्ताक्षर है। यह संकेत दे सकता है कि कैबिनेट फ़ाइल दूषित है।

हमने इसे एक विषमता के रूप में लिखा, सभी कोई भी यह बताने में सक्षम नहीं था कि सिस्टम इस तरह कॉन्फ़िगर क्यों किया गया था। हालांकि, अब सॉफ्टवेयर सामान्य उपयोग के लिए उपलब्ध है, ऐसा लगता है कि हमारे ग्राहकों का एक डबल अंक (प्रतिशत) इस सेटिंग के साथ कॉन्फ़िगर किया गया है और कोई भी क्यों नहीं जानता है। कई सेटिंग बदलने के लिए अनिच्छुक हैं।

हमने एक लिखा है केबी लेख हमारे ग्राहकों के लिए, लेकिन हम वास्तव में समस्या नहीं करना चाहते हैं क्योंकि हम वास्तव में ग्राहक अनुभव की परवाह करते हैं।

इसकी जांच करते समय हमने कुछ चीजें देखी हैं:

  1. एक ताजा विंडोज सर्वर स्थापना विश्वसनीय रूट अधिकारियों की सूची में Globalsign प्रमाण नहीं दिखाती है।
  2. विंडोज सर्वर इंटरनेट से कनेक्ट नहीं होने के साथ, हमारे सॉफ्टवेयर को स्थापित करना ठीक काम करता है। स्थापना के अंत में Globalsign प्रमाण मौजूद है (हमारे द्वारा आयात नहीं किया गया)। पृष्ठभूमि में विंडोज़ इसे पहले उपयोग पर पारदर्शी रूप से स्थापित करने के लिए प्रतीत होता है।

तो, मेरा सवाल फिर से है। रूट प्रमाणपत्रों को अद्यतन करने में अक्षम होना इतना आम क्यों है? अपडेट को फिर से सक्षम करने के संभावित साइड इफेक्ट्स क्या हैं? मैं यह सुनिश्चित करना चाहता हूं कि हम अपने ग्राहकों को उचित मार्गदर्शन प्रदान कर सकें।


38
2018-01-27 16:00


मूल


चेतावनी या दस्तावेज़ीकरण के बिना सभी प्रणालियों पर दिखाई देने वाले नए रूट प्रमाण पत्र कुछ सुरक्षा लोगों के लिए चिंता का विषय हैं। वे माइक्रोसॉफ्ट पर भरोसा नहीं करते हैं कि वे कम से कम कुछ रूटिंग के बिना नए रूट प्रमाणपत्रों को पूरी तरह से तैयार करें। मायने रखता है जब माइक्रोसॉफ्ट किसी भी नोटिस के बिना 18 नए रूट प्रमाणपत्रों को धक्का देने जैसी चीजें करता है। - Brian
क्या आप जांच नहीं सकते हैं कि प्रमाणपत्र सिस्टम में उपलब्ध है या नहीं और अपडेटिंग अक्षम होने पर आपके सर्टिफिकेट को वेबसाइट से डाउनलोड करने की पेशकश है? - Falco
@ फाल्को नोप, इस तरह की चीजों का पता लगाने के लिए हम कस्टम तर्क चलाने से पहले प्रमाण होना चाहिए। यह डिजिटली हस्ताक्षर इंस्टॉलरों का पूरा बिंदु है। साथ ही, अगर व्यवस्थापक ने रूट कर्ट अपडेट करने को अक्षम कर दिया है तो वे कुछ तीसरे पक्ष के विक्रेता को ऐसा करने में प्रसन्न नहीं होंगे। - Jeroen Ritmeijer
फिर आप एक ऐसी वेबसाइट प्रदान कर सकते हैं जो प्रमाणपत्र के लिए जांच करे, जो उपयोगकर्ता आपके उत्पाद को इंस्टॉल करने से पहले देख सकते हैं? जैसे "यात्रा करें .... यह जांचने के लिए कि क्या आपका सिस्टम संगत है या नहीं," वेबसाइट पर सर्टिफिकेट स्थापित करने के लिए चरण प्रदर्शित करते हैं यदि आपको पता चलता है कि यह मौजूद नहीं है? - Falco
@ फाल्को जो हमारे पास है (कुछ डिग्री के लिए), मेरे प्रश्न में केबी आलेख का लिंक देखें। इसके अलावा ... लोग निर्देश नहीं पढ़ते हैं। - Jeroen Ritmeijer


जवाब:


2012 के अंत / 2013 की शुरुआत में स्वचालित रूट प्रमाणपत्र अपडेट के साथ एक समस्या थी। अंतरिम फिक्स स्वचालित अपडेट को अक्षम करना था, इसलिए आंशिक रूप से यह समस्या ऐतिहासिक है।

दूसरा कारण ट्रस्टेड रूट सर्टिफिकेट प्रोग्राम और रूट सर्टिफिकेट डिस्ट्रीब्यूशन है, जो (पैराफ्रेश करने के लिए माइक्रोसॉफ्ट) ...

रूट प्रमाणपत्र स्वचालित रूप से विंडोज़ पर अपडेट किए जाते हैं। जब एक [सिस्टम] एक नया रूट प्रमाण पत्र मुठभेड़ करता है, तो Windows प्रमाणपत्र श्रृंखला सत्यापन सॉफ़्टवेयर रूट प्रमाणपत्र के लिए उचित Microsoft अद्यतन स्थान की जांच करता है।

अब तक, बहुत अच्छा लेकिन फिर ...

अगर इसे पाता है, तो यह इसे सिस्टम में डाउनलोड करता है। उपयोगकर्ता के लिए,   अनुभव निर्बाध है। उपयोगकर्ता को कोई सुरक्षा संवाद नहीं दिखता है   बक्से या चेतावनियां। डाउनलोड स्वचालित रूप से होता है, पीछे   दृश्यों।

जब ऐसा होता है तो यह प्रकट हो सकता है कि रूट स्टोर में स्वचालित रूप से कर्ट जोड़े जा रहे हैं। यह सब कुछ sysadmins परेशान करता है क्योंकि आप प्रमाण पत्र प्रबंधन उपकरण से 'खराब' सीए नहीं हटा सकते हैं क्योंकि वे वहां निकालने के लिए नहीं हैं ...

असल में विंडोज़ को पूरी सूची डाउनलोड करने के तरीके हैं ताकि वे इसे संपादित कर सकें, लेकिन अपडेट को अवरुद्ध करना आम बात है। बड़ी संख्या में sysadmins एन्क्रिप्शन या सुरक्षा (आमतौर पर) को समझ में नहीं आता है, इसलिए वे बिना किसी सवाल के प्राप्त ज्ञान (सही या अन्यथा) का पालन करते हैं और वे सुरक्षा से जुड़े चीजों में बदलाव करना पसंद नहीं करते हैं, जिन्हें वे पूरी तरह समझते हैं कि यह विश्वास नहीं है कुछ काला कला।


32
2018-01-27 16:37



A great number of sysadmins [...] don't like making changes to things involving security that they don't fully understand believing it to be some black art. हाँ। दुखद लेकिन सत्य। - HopelessN00b
@ HopelessN00b तो आप बल्कि वे चाहते हैं आज़ादी से सुरक्षा में शामिल कॉन्फ़िगरेशन परिवर्तन करें जो वे पूरी तरह से समझ में नहीं आते हैं? यह मेरे लिए एक बहुत डरावना प्रस्ताव लगता है। - Joshua Shearer
@ जोशुआशेरर मैं बल्कि उन्हें स्वयं को सिसडमिन को समझना या बंद करना चाहता हूं। - Kevin Krumwiede
केशविन की तरह @ जोशुआशेयर ने कहा, अगर वे सुरक्षा को समझ में नहीं आते हैं, तो उन्हें sysadmins नहीं होना चाहिए, और मुझे लगता है कि सुरक्षा के बारे में सोचने वाले किसी भी व्यक्ति का प्रशासन करने के लिए यह एक डरावना प्रस्ताव है, जो कुछ काले जादू या वाडू है। - HopelessN00b
@ जोशुआशेयर - क्योंकि वे समझ में नहीं आते हैं, यह तर्कसंगत रूप से मूक है क्योंकि वे नहीं जानते होंगे कि उनके पास पहले से क्या सही है या नहीं ... कई छोटे-मध्यम आकार के व्यवसायों में 'व्यवस्थापक' है "good with computers" क्योंकि उनके पास वास्तविक पेशेवर की बजाय नवीनतम चमकदार आईटिंग्स हैं। - James Snell


स्वचालित रूट प्रमाण पत्र अद्यतन घटक माइक्रोसॉफ्ट विंडोज अपडेट वेबसाइट पर विश्वसनीय अधिकारियों की सूची स्वचालित रूप से जांचने के लिए डिज़ाइन किया गया है। विशेष रूप से, स्थानीय कंप्यूटर पर संग्रहीत विश्वसनीय रूट प्रमाणन प्राधिकरण (सीएएस) की एक सूची है। जब किसी सीए द्वारा जारी किए गए प्रमाण पत्र के साथ कोई आवेदन प्रस्तुत किया जाता है, तो यह विश्वसनीय रूट सीए सूची की स्थानीय प्रतिलिपि की जांच करेगा। यदि प्रमाणपत्र सूची में नहीं है, तो स्वचालित रूट प्रमाणपत्र अद्यतन घटक Microsoft Windows अद्यतन वेबसाइट से संपर्क करेगा यह देखने के लिए कि कोई अद्यतन उपलब्ध है या नहीं। यदि सीए को विश्वसनीय सीए की माइक्रोसॉफ्ट सूची में जोड़ा गया है, तो इसका प्रमाणपत्र स्वचालित रूप से कंप्यूटर पर विश्वसनीय प्रमाणपत्र स्टोर में जोड़ा जाएगा।

रूट प्रमाणपत्रों को अद्यतन करने में अक्षम होना इतना आम क्यों है?

संक्षिप्त जवाब शायद यह है कि यह नियंत्रण के बारे में है। यदि आप नियंत्रित करना चाहते हैं कि कौन सी रूट सीए विश्वसनीय हैं (इस सुविधा का उपयोग करने और माइक्रोसॉफ्ट को आपके लिए यह करने की बजाय), यह रूट सीए की एक सूची के साथ आने के लिए सबसे आसान और सबसे सुरक्षित है, जिसे आप भरोसा करना चाहते हैं, उन्हें अपने डोमेन कंप्यूटर पर वितरित करें , और तब उस सूची को लॉक करें। चूंकि रूट सीए की सूची में परिवर्तन एक संगठन अपेक्षा करना दुर्लभ होगा, यह निश्चित रूप से समझ में आता है कि एक व्यवस्थापक स्वचालित अपडेट की अनुमति देने के बजाय किसी भी बदलाव की समीक्षा और अनुमोदन करना चाहता है।

पूरी तरह से स्पष्ट होने के लिए, यदि कोई नहीं जानता कि यह सेटिंग किसी दिए गए वातावरण में क्यों सक्षम है, तो इसका मतलब है कि इसे सेट नहीं किया जाना चाहिए।

अपडेट को फिर से सक्षम करने के संभावित साइड इफेक्ट्स क्या हैं?

डोमेन कंप्यूटर को माइक्रोसॉफ्ट विंडोज अपडेट साइट पर भरोसेमंद सीए की सूची के खिलाफ जांच करने की अनुमति दी जाएगी, और संभावित रूप से अपने विश्वसनीय प्रमाणपत्र स्टोर में नए प्रमाणपत्र जोड़ सकते हैं।

यदि यह आपके ग्राहकों / ग्राहकों के लिए अस्वीकार्य है, तो प्रमाणपत्र जीपीओ द्वारा वितरित किए जा सकते हैं, और उन्हें वर्तमान प्रमाण पत्र के लिए उपयोग की जाने वाली किसी भी वितरण विधि में अपना प्रमाणपत्र शामिल करना होगा।

या आप हमेशा अपने उत्पाद की स्थापना की अनुमति देने के लिए अस्थायी रूप से इस विशेष नीति को अक्षम करने का सुझाव दे सकते हैं।


11
2018-01-27 16:30





मैं इस बात से सहमत नहीं होगा कि इसे अक्षम करना आम है। वाक्यांश के लिए एक बेहतर तरीका यह पूछना होगा कि कोई इसे अक्षम क्यों करेगा। और आपकी समस्या के लिए एक बेहतर समाधान इंस्टॉलर के लिए रूट / इंटरमीडिएट सीए प्रमाणपत्रों की जांच करने के लिए होगा और यदि मौजूद नहीं है तो उन्हें इंस्टॉल करें।

विश्वसनीय रूट सीए कार्यक्रम आवश्यक है। आवेदनों का एक टन केवल अपेक्षाकृत काम नहीं करेगा अगर इसे व्यापक रूप से बंद कर दिया गया हो। निश्चित रूप से, ऐसे कुछ संगठन हो सकते हैं जो इस सुविधा को अक्षम करते हैं, लेकिन यह वास्तव में संगठनों के लिए उनकी आवश्यकताओं के आधार पर है। यह एक ग़लत धारणा है कि बाहरी निर्भरता (रूट प्रमाणपत्र) की आवश्यकता वाले किसी भी एप्लिकेशन को हमेशा परीक्षण किए बिना काम करना होगा। इस सुविधा को अक्षम करने वाले अनुप्रयोगों और संगठनों के दोनों डेवलपर बाहरी निर्भरता (रूट प्रमाण पत्र) सुनिश्चित करने की ज़िम्मेदारी रखते हैं। इसका मतलब है कि यदि कोई संगठन इसे अक्षम करता है, तो वे इस मुद्दे की अपेक्षा करना चाहते हैं (या जल्द ही इसके बारे में जानेंगे)।

यह भी ध्यान देने योग्य है कि विश्वसनीय रूट सीए प्रोग्राम तंत्र (रूट सीए प्रमाणपत्रों की गतिशील स्थापना) का एक उपयोगी उद्देश्य यह है कि सभी या यहां तक ​​कि सबसे प्रसिद्ध / भरोसेमंद रूट सीए प्रमाण पत्र स्थापित करना व्यावहारिक नहीं है। विंडोज़ में कुछ घटक तोड़ते हैं यदि बहुत सारे प्रमाणपत्र स्थापित हैं, इसलिए केवल व्यवहार्य अभ्यास केवल आवश्यक प्रमाण पत्र स्थापित करना है, जब उनकी आवश्यकता हो।

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx 

"मुद्दा यह है: एससीएचनल सुरक्षा पैकेज ग्राहकों को भरोसेमंद प्रमाणपत्र भेजने के लिए उपयोग किया जाता है, इसकी सीमा 16 केबी है। इसलिए, स्टोर में बहुत से प्रमाणपत्र होने से टीएलएस सर्वर को आवश्यक प्रमाणपत्र जानकारी भेजने से रोका जा सकता है; वे भेजना शुरू करते हैं लेकिन उन्हें रोकना पड़ता है वे 16 केबी तक पहुंचते हैं। अगर ग्राहकों के पास सही प्रमाण पत्र जानकारी नहीं है, तो वे प्रमाणीकरण के लिए टीएलएस की आवश्यकता वाली सेवाओं का उपयोग नहीं कर सकते हैं। क्योंकि केबी 931125 में रूट रूट अपडेट अपडेट पैकेज मैन्युअल रूप से स्टोर में बड़ी संख्या में प्रमाणपत्र जोड़ता है, इसे सर्वर परिणामों पर लागू करता है स्टोर में 16 केबी सीमा से अधिक और असफल टीएलएस प्रमाणीकरण की संभावना है। "


3
2018-01-27 17:17



आपके उत्तर के लिए धन्यवाद, लेकिन हमारे असली दुनिया के अनुभव के आधार पर यह आम है और मुझे नहीं लगता कि किसी भी सर्वर व्यवस्थापक को रूट प्रमाण स्थापित करने के लिए खुशी होगी अगर उन्होंने माइक्रोसॉफ्ट पर भरोसा करने का निर्णय नहीं लिया है। इसके अलावा .... हमारे इंस्टॉलर प्रमाण के बिना चला नहीं जा सकता है चिकन ... अंडा ... - Jeroen Ritmeijer
समझा, लेकिन आपने यह भी सीखा कि आप बाहरी निर्भरता का परीक्षण कर रहे हैं, इसे स्थापना के लिए दस्तावेज कर रहे हैं, और ग्राहक को आवश्यकता को संप्रेषित कर रहे हैं। वह असली दुनिया का अनुभव है। मुझे संदेह है कि आपका ग्राहक आधार एक निष्कर्ष का समर्थन करने के लिए अनुभवजन्य डेटा के रूप में योग्य होगा कि यह "आम" है कि यह सुविधा अक्षम है। - Greg Askew
@Muhimbi: एक व्यावहारिक कामकाज के रूप में, यदि आप स्वचालित रूट प्रमाणपत्र अद्यतनों को अनुमति नहीं देना चाहते हैं, तो आप आवश्यक प्रमाणपत्र मैन्युअल रूप से स्थापित करने के लिए व्यवस्थापक के लिए निर्देश प्रदान कर सकते हैं। - Ilmari Karonen
@IlmariKaronen, हम पहले से ही करते हैं। किसी कारण से यह हमेशा काम नहीं करता है, भले ही वे इसे सही स्टोर में आयात करते हैं। शायद यह इंटरनेट से कनेक्ट नहीं होने वाले कई सर्वर से संबंधित है, इसलिए वे प्रमाण की वैधता को सत्यापित नहीं कर सकते हैं। - Jeroen Ritmeijer


Certif.service को अक्षम करने का मेरा कारण निम्नानुसार है:

मेरे पास इंटरनेट कनेक्शन के बिना कई सिस्टम हैं। इसके अलावा ज्यादातर मामलों में उनमें डिस्प्ले / केबी / माउस की कमी होती है क्योंकि तथ्य यह है कि वे एक बड़े डेटास्टोर सर्वर पर वर्चुअल मशीन हैं। इसलिए सभी मामलों में जब उन्हें रखरखाव / संशोधन की आवश्यकता होती है तो मैं उन्हें प्राप्त करने के लिए विंडोज आरडीपी का उपयोग करता हूं। यदि आप आरडीपी के माध्यम से किसी मशीन से कनेक्ट करते हैं, तो विंडोज पहले प्रमाण पत्र अपडेट ऑनलाइन जांचता है। यदि आपके सर्वर / क्लाइंट में इंटरनेट नहीं है, तो यह निरंतर कनेक्शन से पहले 10-20 सेकंड तक लटकता है।

मैं हर दिन बहुत सारे आरडीपी कनेक्शन बनाता हूं। मैं संदेश पर घूरने पर घंटों को बचाता हूं: "दूरस्थ कनेक्शन सुरक्षित करना" :) certif.service को अक्षम करने के लिए +1!


3
2017-08-10 07:53



हालांकि मैं समझता हूं, यह एक गंभीर कारण है :-) ऐसा करने के बेहतर तरीके हैं। मैं एक समान समस्या में भाग गया (शेयरपॉइंट जांच प्रमाण पत्र के साथ और परिणामस्वरूप धीमा हो रहा है) साल पहले। आप कई समाधान और कामकाज पा सकते हैं blog.muhimbi.com/2009/04/new-approach-to-solve-sharepoints.html - Jeroen Ritmeijer


मुझे पता है कि यह एक पुराना धागा है; हालांकि, मैं एक वैकल्पिक समाधान जमा करना चाहता हूं। आप जिस प्रयोग का उपयोग कर रहे हैं उसके अलावा एक प्रमाणपत्र प्राधिकरण (रूट सीए) का उपयोग करें। दूसरे शब्दों में, अपने हस्ताक्षर प्रमाणपत्र को उस व्यक्ति पर स्विच करें जिसमें बहुत पुराना, अनुमोदित रूट सीए है।

एक प्रमाणपत्र का अनुरोध करते समय DIGICert यह प्रदान करता है। हालांकि यह आपके DIGICert खाते के भीतर आपका डिफ़ॉल्ट रूट CA नहीं हो सकता है, यह सीएसआर सबमिट करते समय उपलब्ध एक विकल्प है। बीटीडब्लू, मैं डीआईजीआईसीर्ट के लिए काम नहीं करता हूं और न ही मुझे उनकी सिफारिश करके कोई लाभ होता है .. मुझे बस यह दर्द महसूस होता है और एक सस्ता प्रमाण पर $ 1000 यूएस बचाने पर बहुत अधिक घंटे बिताते हैं जब मैं अधिक महंगा प्रमाण खरीद सकता था और बहुत खर्च करता था समर्थन मुद्दों से निपटने में कम समय। यह बस एक उदाहरण है। अन्य प्रमाण पत्र प्रदाता एक ही चीज़ की पेशकश कर रहे हैं।

99% संगतता DigiCert रूट प्रमाण पत्र सबसे अधिक हैं   दुनिया में व्यापक रूप से भरोसेमंद प्राधिकरण प्रमाण पत्र। ऐसे में, वे हैं   स्वचालित रूप से सभी सामान्य वेब ब्राउज़र, मोबाइल डिवाइस,   और मेल क्लाइंट।

चेतावनी - यदि आप सीएसआर बनाते समय सही रूट सीए का चयन करते हैं।


0
2018-03-10 00:36