많은 관리자가 '자동 루트 인증서 업데이트 끄기'정책을 사용하는 이유는 무엇입니까?


40

우리 회사는 서버 기반 제품 용 Windows Installer를 배포합니다. 모범 사례에 따라 인증서를 사용하여 서명됩니다. 와 라인에서 마이크로 소프트의 조언을 우리는 사용 GlobalSign 코드 서명 인증서 마이크로 소프트의 주장은 모든 Windows Server 버전에서 기본적으로 인식된다.

자,이 모든 서버가 구성되어 잘하지 않는 한 작동 그룹 정책 : 컴퓨터 구성 / 관리 템플릿 / 시스템 / 인터넷 통신 관리 / 인터넷 통신 설정 / 자동 루트 인증서 업데이트 떨어져 돌려 으로 사용 가능 .

초기 베타 테스터 중 하나가이 구성으로 실행 중이며 설치 중에 다음 오류가 발생했습니다.

캐비닛 파일 [cab 파일의 긴 경로]에 유효하지 않은 디지털 서명이 있으므로 필요한 파일을 설치할 수 없습니다. 캐비닛 파일이 손상되었음을 나타냅니다.

우리는 아무도 시스템이 왜 이렇게 구성되었는지 설명 할 수 없었기 때문에 이것을 이상한 것으로 썼습니다. 그러나 이제 소프트웨어를 일반적인 용도로 사용할 수있게되었으므로 고객의 두 자리수 (백분율)가이 설정으로 구성되어 있고 그 이유를 아무도 모릅니다. 많은 사람들이 설정을 변경하기를 꺼려합니다.

우리는 고객을 위해 KB 기사 를 작성 했지만 실제로 고객 경험에 관심을 갖기 때문에 문제가 발생하는 것을 원하지 않습니다.

이것을 조사하면서 우리가 알아 차린 것들 :

  1. 새로 Windows Server를 설치해도 신뢰할 수있는 루트 권한 목록에 Globalsign 인증서가 표시되지 않습니다.
  2. 인터넷에 연결되지 않은 Windows Server를 사용하면 소프트웨어를 올바르게 설치할 수 있습니다. 설치가 끝나면 Globalsign 인증서가 있습니다 (우리가 수입하지 않음). 백그라운드에서 Windows는 처음 사용할 때 투명하게 설치 한 것으로 보입니다.

자, 여기 다시 질문이 있습니다. 루트 인증서 업데이트를 비활성화하는 것이 왜 흔한 일입니까? 업데이트를 다시 활성화 할 때 발생할 수있는 부작용은 무엇입니까? 고객에게 적절한 지침을 제공 할 수 있는지 확인하고 싶습니다.


14
경고 나 문서없이 모든 시스템에 나타나는 새로운 루트 인증서는 일부 보안 담당자의 우려입니다. 그들은 최소한 자신을 조사하지 않고 새로운 루트 인증서를 완전히 조사한다고 Microsoft를 신뢰하지 않습니다. Microsoft가 통지없이 18 개의 새로운 루트 인증서를 푸시하는 것과 같은 일을하는 경우에는 도움이되지 않습니다.
Brian

시스템에서 인증서가 사용 가능한지 확인할 수 없으며 업데이트가 비활성화 된 경우 웹 사이트에서 직접 인증서를 다운로드하도록 제안 할 수 있습니까?
Falco

@falco Nop, 우리는 이와 같은 것을 감지하기 위해 사용자 정의 논리를 실행하기 전에 인증서가 있어야합니다. 이것이 디지털 서명 설치 프로그램의 요점입니다. 또한 관리자가 루트 인증서 업데이트를 비활성화 한 경우 일부 타사 공급 업체에서이를 허용하게되어 기쁘지 않습니다.
Jeroen Ritmeijer

그런 다음 제품을 설치하기 전에 사용자가 방문 할 수있는 인증서를 확인하는 웹 사이트를 제공 할 수 있습니까? "방문 ....과 같이 시스템이 호환되는지 확인하십시오"와 같이 웹 사이트에 인증서가 존재하지 않는 경우 인증서 설치 단계가 표시됩니까?
팔코

1
@falco 우리가 (어느 정도까지), 내 질문에서 KB 기사에 대한 링크를 참조하십시오. 또한 ... 사람들은 지시를 읽지 않습니다.
Jeroen Ritmeijer

답변:


33

2012 년 말 / 2013 년 초에 자동 루트 인증서 업데이트에 문제가있었습니다. 임시 수정 사항은 자동 업데이트를 비활성화하는 것이기 때문에이 문제는 부분적으로 발생합니다.

다른 원인은 (의역 할 수있는 신뢰할 수있는 루트 인증서 프로그램 및 루트 인증서 배포, 인 마이크로 소프트 ) ...

루트 인증서는 Windows에서 자동으로 업데이트됩니다. [시스템]에 새로운 루트 인증서가 있으면 Windows 인증서 체인 확인 소프트웨어는 루트 인증서에 대한 적절한 Microsoft Update 위치를 확인합니다.

지금까지는 좋지만 ...

찾으면 시스템에 다운로드합니다. 사용자에게는 경험이 완벽합니다. 보안 대화 상자 나 경고가 표시되지 않습니다. 장면 뒤에서 자동으로 다운로드됩니다.

이 경우 인증서가 루트 저장소에 자동으로 추가 된 것으로 나타날 수 있습니다. 이 모든 것은 인증서 관리 도구에서 '잘못된'CA를 제거 할 수 없기 때문에 일부 sysadmin을 긴장하게 만듭니다.

실제로 Windows가 전체 목록을 다운로드하여 원하는대로 편집 할 수 있도록하는 방법이 있지만 업데이트를 차단하는 것이 일반적입니다. 많은 수의 sysadmins는 암호화 또는 보안을 (일반적으로) 이해하지 못하므로 의심없이 (정확하거나 그렇지 않은) 지혜를 얻었으며 보안과 관련된 것을 완전히 이해하지 못하고 변경하는 것을 좋아하지 않습니다. 일부 검은 예술.


13
A great number of sysadmins [...] don't like making changes to things involving security that they don't fully understand believing it to be some black art.네. 슬프지만 사실이야.
HopelessN00b

8
@ HopelessN00b 그래서 그들은 완전히 이해하지 못하는 보안과 관련된 구성 을 자유롭게 변경하고 싶습니까? 그것은 훨씬 더 무서운 제안입니다.
Joshua Shearer

11
@JoshuaShearer 오히려 sysadmins라고 부르는 것을 이해하거나 그만두고 싶습니다.
Kevin Krumwiede

2
@JoshuaShearer Kevin이 말했듯이 보안을 이해하지 못한다면 시스템 관리자가되어서는 안되며, 보안이 흑 마술 또는 부두라고 생각하는 모든 것을 관리자에게 두는 것이 무서운 제안이라고 생각합니다.
HopelessN00b

2
@JoshuaShearer-그들이 이해하지 못하기 때문에, 이미 가지고있는 것이 정확한지 아닌지 알 수 없기 때문에 논쟁의 여지가 있습니다 ... 많은 중소 기업에서 '관리자'는 "good with computers"최신의 빛나는 iThings를 가지고 있기 때문에 진정한 전문가보다는
James Snell

11

자동 루트 인증서 업데이트 구성 요소는 자동으로는 Microsoft Windows Update 웹 사이트에서 신뢰할 수있는 기관 목록을 확인하도록 설계되었습니다. 특히 로컬 컴퓨터에 저장된 신뢰할 수있는 루트 인증 기관 (CA) 목록이 있습니다. 응용 프로그램에 CA에서 발급 한 인증서가 제공되면 신뢰할 수있는 루트 CA 목록의 로컬 복사본을 확인합니다. 인증서가 목록에 없으면 자동 루트 인증서 업데이트 구성 요소가 Microsoft Windows Update 웹 사이트에 연결하여 업데이트가 있는지 확인합니다. CA가 Microsoft의 신뢰할 수있는 CA 목록에 추가 된 경우 해당 인증서는 컴퓨터의 신뢰할 수있는 인증서 저장소에 자동으로 추가됩니다.

루트 인증서 업데이트를 비활성화하는 것이 왜 흔한 일입니까?

짧은 대답은 아마도 통제에 관한 것입니다. 이 기능을 사용하여 Microsoft에 제공하지 않고 신뢰할 수있는 루트 CA를 제어하려는 경우 신뢰할 수있는 루트 CA 목록을 작성하는 것이 가장 쉽고 안전합니다. 도메인 컴퓨터에 배포하십시오. 을 누른 다음 해당 목록을 잠급니다. 조직에서 신뢰하고 싶은 루트 CA 목록의 변경은 비교적 드물기 때문에 관리자가 자동 ​​업데이트를 허용하지 않고 변경 사항을 검토하고 승인하려고합니다.

솔직히 말해서, 주어진 환경에서이 설정이 활성화 된 이유를 아무도 모르면 설정하지 않아야합니다.

업데이트를 다시 활성화 할 때 발생할 수있는 부작용은 무엇입니까?

도메인 컴퓨터는 Microsoft Windows Update 사이트에서 신뢰할 수있는 CA 목록을 확인하고 신뢰할 수있는 인증서 저장소에 새 인증서를 추가 할 수 있습니다.

이것이 클라이언트 / 고객에게 허용되지 않는 경우 GPO를 통해 인증서를 배포 할 수 있으며 현재 신뢰할 수있는 인증서에 사용하는 배포 방법에 인증서를 포함해야합니다.

또는 제품 설치를 허용하기 위해 항상이 특정 정책을 일시적으로 비활성화 할 것을 제안 할 수 있습니다.


3

이것을 비활성화하는 것이 일반적이라는 데 동의하지 않습니다. 이를 표현하는 더 좋은 방법은 다른 사람이 비활성화하는 이유를 묻는 것입니다. 설치 관리자가 루트 / 중간 CA 인증서를 확인하고없는 경우 설치하는 것이 더 나은 솔루션입니다.

신뢰할 수있는 루트 CA 프로그램은 필수적입니다. 응용 프로그램 톤이 광범위하게 꺼져 있으면 예상대로 작동하지 않습니다. 물론이 기능을 사용하지 않도록 설정하는 조직이있을 수 있지만 요구 사항에 따라 조직에 따라 다릅니다. 외부 종속성 (루트 인증서)이 필요한 응용 프로그램은 항상 테스트하지 않고 작동한다는 가정에 결함이 있습니다. 이 기능을 비활성화하는 응용 프로그램 및 조직 개발자 모두 외부 종속성 (루트 인증서)이 있는지 확인해야합니다. 즉, 조직에서이 기능을 사용 중지하면이 문제가 발생할 것으로 예상하거나 곧 알게 될 것입니다.

또한 신뢰할 수있는 루트 CA 프로그램 메커니즘 (루트 CA 인증서의 동적 설치)의 유용한 목적 중 하나는 잘 알려진 / 신뢰할 수있는 루트 CA 인증서를 전부 또는 대부분 설치하는 것이 실용적이지 않다는 것입니다. 너무 많은 인증서가 설치되어 있으면 Windows의 일부 구성 요소가 손상되므로 필요한 경우 필요한 인증서 만 설치하면됩니다.

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

"문제는 이것입니다. 클라이언트에게 신뢰할 수있는 인증서를 보내는 데 사용되는 SChannel 보안 패키지는 16KB로 제한됩니다. 따라서 저장소에 너무 많은 인증서가 있으면 TLS 서버가 필요한 인증서 정보를 보내지 못하게 할 수 있습니다. 클라이언트에 올바른 인증서 정보가 없으면 TLS가 필요한 서비스를 인증에 사용할 수 없습니다 .KB 931125의 루트 인증서 업데이트 패키지는 많은 수의 인증서를 저장소에 수동으로 추가하여 서버에 적용합니다. 저장소에서 16KB 제한을 초과하고 TLS 인증 실패 가능성이 있습니다. "


2
귀하의 답변에 감사드립니다. 그러나 실제 경험을 바탕으로하는 것이 일반적이며 서버 관리자가 Microsoft를 신뢰하지 않기로 결정한 경우 루트 인증서를 설치하는 것이 행복하다고 생각하지 않습니다. 또한 .... 우리의 설치 프로그램은 인증서 없이는 실행할 수 없으므로 닭고기 ... 계란 ...
Jeroen Ritmeijer

이해했지만 외부 종속성을 테스트하고 설치를 위해 문서화하며 요구 사항을 고객에게 전달한다는 것도 알게되었습니다. 그것은 실제 경험입니다. 고객층이이 기능을 사용하지 않는 것이 일반적이라는 결론을 뒷받침 할 수있는 경험적 데이터가 될 수 있을지 의심됩니다.
Greg Askew

@ Muhimbi : 실제 해결 방법으로 관리자가 자동 ​​루트 인증서 업데이트를 허용하지 않으려는 경우 필요한 인증서를 수동으로 설치하는 지침을 제공 할 수 있습니다.
Ilmari Karonen

@IlmariKaronen, 우리는 이미하고 있습니다. 어떤 이유로 올바른 저장소로 가져와도 항상 작동하지는 않습니다. 아마도 인터넷에 연결되지 않은 많은 서버와 관련되어 있으므로 인증서의 유효성을 확인할 수 없습니다.
Jeroen Ritmeijer

3

certif.service를 사용하지 않는 이유는 다음과 같습니다.

인터넷에 연결되지 않은 많은 시스템이 있습니다. 또한 대부분의 경우 큰 DatastoreServer의 가상 머신이기 때문에 display / kb / mouse가 부족합니다. 따라서 유지 관리 / 수정이 필요한 모든 경우에 Windows RDP를 사용합니다. RDP를 통해 컴퓨터에 연결하면 Windows는 먼저 인증서 업데이트를 온라인으로 확인합니다. 서버 / 클라이언트에 인터넷이 없으면 연결을 계속하기 전에 10-20 초 동안 중단됩니다.

매일 많은 RDP 연결을 만듭니다. certif.service를 비활성화하면 "원격 연결 보안":) +1 메시지를 보지 않아도 시간이 절약됩니다!


나는 이해하지만 끔찍한 이유입니다 :-) 이것을하는 더 좋은 방법이 있습니다. 몇 년 전에 비슷한 문제 (SharePoint가 인증서를 확인하고 결과가 느려짐)와 비슷한 문제가 발생했습니다. 당신은 몇 가지 솔루션 및 해결 방법을 찾을 수 있습니다 blog.muhimbi.com/2009/04/new-approach-to-solve-sharepoints.html을
제론 Ritmeijer에게

0

나는 이것이 더 오래된 실이라는 것을 안다. 그러나 대안 솔루션을 제출하고 싶습니다. 사용중인 인증 기관 이외의 인증 기관 (ROOT CA)을 사용하십시오. 즉, 서명 인증서를 훨씬 더 오래되고 승인 된 루트 CA가있는 인증서로 전환하십시오.

DIGICert는 인증서를 요청할 때 이것을 제공합니다. 이것이 DIGICert 계정 내의 기본 루트 CA가 아닐 수도 있지만 CSR을 제출할 때 사용할 수있는 옵션입니다. BTW, 나는 DIGICert에서 일하지도 않고 그들을 추천함으로써 어떤 이득도 얻지 못합니다 .. 나는 단순히이 고통을 느끼고 더 비싼 증명서를 사서 많은 돈을 쓸 수있을 때 싼 증명서로 1000 달러를 절약하는데 너무 많은 시간을 보냈습니다. 지원 문제를 다루는 시간이 줄어 듭니다. 이것은 단순히 예입니다. 같은 것을 제공하는 다른 인증서 공급자가 있습니다.

99 % 호환성 DigiCert 루트 인증서는 세계에서 가장 널리 신뢰되는 기관 인증서 중 하나입니다. 따라서 모든 일반 웹 브라우저, 모바일 장치 및 메일 클라이언트에서 자동으로 인식됩니다.

주의 사항-CSR을 만들 때 올바른 루트 CA를 선택한 경우

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.