為什麼許多管理員使用“關閉自動根證書更新”策略?
我的公司為基於伺服器的產品分發 Windows 安裝程序。根據最佳實踐,它使用證書進行簽名。根據Microsoft 的建議,我們使用GlobalSign 程式碼簽名證書,Microsoft 聲稱預設情況下所有 Windows Server 版本都可以辨識該證書。
現在,這一切正常,除非伺服器已配置組策略:電腦配置/管理模板/系統/網際網路通信管理/網際網路通信設置/關閉自動根證書更新為已啟用。
我們發現我們的一位早期 beta 測試人員正在使用此配置執行,導致安裝過程中出現以下錯誤
由於cabinet文件,無法安裝所需的文件
$$ long path to cab file $$具有無效的數字簽名。這可能表明cabinet 文件已損壞。
我們把它寫成了一個奇怪的東西,畢竟沒有人能夠解釋為什麼系統是這樣配置的。但是,現在該軟體可用於一般用途,我們的客戶中似乎有兩位數(百分比)配置了此設置,沒有人知道為什麼。許多人不願意改變設置。
我們已經為我們的客戶寫了一篇知識庫文章,但我們真的不希望問題發生,因為我們真正關心客戶體驗。
我們在調查時注意到的一些事情:
- 全新的 Windows Server 安裝不會在受信任的根權限列表中顯示 Globalsign 證書。
- 在 Windows Server 未連接到 Internet 的情況下,安裝我們的軟體可以正常工作。在安裝結束時,Globalsign 證書存在(不是我們導入的)。在後台 Windows 似乎在首次使用時透明地安裝它。
所以,這又是我的問題。為什麼禁用根證書更新如此普遍?再次啟用更新的潛在副作用是什麼?我想確保我們可以為客戶提供適當的指導。
在 2012 年末/2013 年初,自動根證書更新存在問題。臨時修復是禁用自動更新,所以這個問題部分是歷史性的。
另一個原因是受信任的根證書程序和根證書分發,(用微軟的話來說)……
根證書在 Windows 上自動更新。當一個
$$ system $$遇到新的根證書時,Windows 證書鏈驗證軟體會檢查根證書的相應 Microsoft Update 位置。
到目前為止,一切都很好,但後來……
如果找到它,它會將其下載到系統中。對於使用者來說,體驗是無縫的。使用者看不到任何安全對話框或警告。下載在幕後自動進行。
發生這種情況時,可能會出現證書被自動添加到根儲存。所有這一切都讓一些系統管理員感到緊張,因為您無法從證書管理工具中刪除“壞”CA,因為它們無法刪除……
實際上,有一些方法可以讓 Windows 下載完整列表,以便他們可以根據需要對其進行編輯,但通常只是阻止更新。大量系統管理員(通常)不了解加密或安全性,因此他們毫無疑問地遵循公認的智慧(正確或不正確),並且他們不喜歡對他們不完全理解的涉及安全的事情進行更改相信它是一些黑色藝術。