Pourquoi de nombreux administrateurs utilisent-ils la politique de désactivation de la mise à jour automatique des certificats racine ?

Le composant Mise à jour automatique des certificats racine est conçu pour vérifier automatiquement la liste des autorités de confiance sur le site Web de mise à jour Microsoft Windows. Plus précisément, il existe une liste des autorités de certification racine de confiance (CA) stockée sur l'ordinateur local. Lorsqu'une application se voit présenter un certificat délivré par une CA, elle vérifiera la copie locale de la liste des autorités racines CA de confiance. Si le certificat ne figure pas dans la liste, le composant de mise à jour automatique des certificats racine contactera le site Web de mise à jour Microsoft Windows pour voir si une mise à jour est disponible. Si la CA a été ajoutée à la liste Microsoft des CA de confiance, son certificat sera automatiquement ajouté au magasin de certificats de confiance de l'ordinateur.

Pourquoi est-il si courant de désactiver la mise à jour des certificats racine?

La réponse courte est probablement que c'est une question de contrôle. Si vous voulez contrôler les CA racine qui sont de confiance (plutôt que d'utiliser cette fonctionnalité et de laisser Microsoft le faire pour vous), il est plus facile et plus sécurisé d'établir une liste des CA racine que vous voulez avoir confiance, de les distribuer à vos ordinateurs de domaine, et ensuite de verrouiller cette liste. Étant donné que les modifications apportées à la liste des CA racine qu'une organisation souhaite avoir confiance seraient relativement rares, il est logique qu'un administrateur souhaite examiner et approuver toute modification plutôt que de permettre une mise à jour automatique.

Pour être complètement franc, si personne ne sait pourquoi ce paramètre est activé dans un environnement donné, cela signifie qu'il ne devrait pas être défini.

Quels sont les effets secondaires potentiels de la réactivation des mises à jour?

Les ordinateurs de domaine pourraient vérifier la liste des CA de confiance sur le site de mise à jour Microsoft Windows, et potentiellement ajouter de nouveaux certificats dans leur magasin de certificats de confiance.

Si cela est inacceptable pour vos clients, les certificats peuvent être distribués par GPO, et ils devront inclure votre certificat dans la méthode de distribution des certificats de confiance qu'ils utilisent actuellement.

Ou vous pourriez toujours suggérer de désactiver temporairement cette politique particulière, pour permettre l'installation de votre produit.

Ma raison de désactiver le service de certificat est la suivante :

J'ai de nombreux systèmes sans connexion Internet. De plus, dans la plupart des cas, ils manquent d'affichage/clavier/souris en raison du fait qu'ils sont des machines virtuelles sur un grand DatastoreServer. Donc, dans tous les cas où ils ont besoin de maintenance/modification, j'utilise Windows RDP pour y accéder. Si vous vous connectez à une machine via RDP, Windows vérifie d'abord les mises à jour des certificats en ligne. Si votre serveur/client n'a pas internet, il se bloque pendant 10 à 20 secondes avant de continuer la connexion.

Je fais beaucoup de connexions RDP chaque jour. Je gagne des heures en ne regardant pas le message : "sécurisation de la connexion à distance" :) +1 pour la désactivation du certif.service !

Je ne suis pas d'accord pour dire que c'est courant de le désactiver. Une meilleure manière de le formuler serait de se demander pourquoi quelqu'un le désactiverait. Et une meilleure solution pour votre problème serait que l'installateur vérifie les certificats CA racine/intermédiaire et les installe s'ils ne sont pas présents.

Le programme de CA racine de confiance est essentiel. Un TAS d'applications ne fonctionnerait pas comme prévu s'il était largement désactivé. Bien sûr, il y a peut-être des organisations qui désactivent cette fonctionnalité, mais c'est vraiment à la discrétion des organisations, en fonction de leurs besoins. Il est erroné de supposer que n'importe quelle application nécessitant une dépendance externe (certificat racine) fonctionnerait toujours sans le tester. Les développeurs d'applications et les organisations qui désactivent cette fonctionnalité sont responsables de s'assurer que la dépendance externe (certificat racine) est présente. Cela signifie que si une organisation désactive cette fonctionnalité, elle sait à quoi s'attendre (ou l'apprendra bientôt).

Il convient également de noter qu'un des buts utiles du mécanisme du programme de CA racine de confiance (installation dynamique des certificats CA racine) est qu'il n'est pas pratique d'installer tous, voire la plupart des certificats CA racine connus/fiabilisés. Certains composants de Windows dysfonctionnent s'il y a trop de certificats installés, donc la seule pratique réalisable est d'installer uniquement les certificats nécessaires, au moment où ils sont nécessaires.

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

"Le problème est le suivant : le package de sécurité SChannel utilisé pour envoyer des certificats de confiance aux clients a une limite de 16 Ko. Par conséquent, avoir trop de certificats dans le magasin peut empêcher les serveurs TLS d'envoyer les informations de certificat nécessaires ; ils commencent à envoyer mais doivent s'arrêter lorsqu'ils atteignent 16 Ko. Si les clients n'ont pas les bonnes informations de certificat, ils ne peuvent pas utiliser les services nécessitant TLS pour l'authentification. Parce que le package de mise à jour des certificats racine disponible dans KB 931125 ajoute manuellement un grand nombre de certificats au magasin, son application aux serveurs fait que le magasin dépasse la limite de 16 Ko et risque un échec de l'authentification TLS."

Je sais que c'est un ancien fil de discussion; cependant, je voudrais soumettre une solution alternative. Utilisez une autorité de certification (ROOT CA) autre que celle que vous utilisez. En d'autres termes, passez votre certificat de signature à un certificat comportant une ROOT CA beaucoup plus ancienne et approuvée.

DIGICert propose cela lors de la demande d'un certificat. Bien que cela ne soit peut-être pas votre ROOT CA par défaut dans votre compte DIGICert, c'est une option disponible lorsque vous soumettez le CSR à eux. Au fait, je ne travaille pas pour DIGICert et je n'ai aucun intérêt à les recommander... Je ressens simplement cette douleur et j'ai passé beaucoup trop d'heures à économiser 1000 $ US sur un certificat bon marché alors que j'aurais pu acheter un certificat plus cher et passer beaucoup moins de temps à gérer les problèmes de support. C'est simplement un exemple. D'autres fournisseurs de certificats offrent la même chose.

99% de compatibilité Les certificats ROOT DigiCert font partie des autorités de certification les plus largement reconnues au monde. En tant que telles, elles sont automatiquement reconnues par tous les navigateurs web courants, les appareils mobiles et les clients de messagerie.

Mais attention - si vous sélectionnez la bonne ROOT CA lors de la création du CSR.