La CA root offline è obsoleta?

7

Esistono innumerevoli articoli e best practice su come consigliare l'uso di un'autorità di certificazione radice (CA) offline. Anche se, come suggerisce il titolo, questa raccomandazione è obsoleta?

Il contesto della mia domanda è per le piccole e medie imprese. NON grandi imprese (o altro) con più livelli di CA subordinate.

Revocare un certificato CA root, come discusso nei post precedenti, è un processo difficile. Può essere raggiunto solo tramite:

  1. aggiornamenti software
  2. script
  3. sistemi di gestione della configurazione
  4. adhoc

La premessa di una CA root offline (metaforicamente parlando) è di averla su un laptop dove viene portata online solo per approvare una CA subordinata. Altrimenti risiede nella massima sicurezza fisica possibile. Se una CA subordinata viene compromessa, non tutto è perduto poiché la CA root offline funziona correttamente. Tuttavia, la grande maggioranza non include un punto di distribuzione CRL (CDP) che rende impossibile determinare quali certificati sono stati revocati. Così facendo la revoca di una CA subordinata immediata simile a quella di una revoca della CA radice. Nulla è stato ottenuto avendo una CA root offline al primo posto.

L'alternativa è pubblicare un CDP che sembra avere più senso ma non consente più alla CA radice di essere offline. Se il CDP viene aggiornato una volta al mese, nel peggiore dei casi i clienti non identificheranno un certificato revocato per un intero mese. Nel frattempo l'amministrazione di questo richiede al personale di riavviare il sistema e aggiornare il CDP mensilmente. L'allungamento di questa finestra (+1 mese) crea solo una finestra più grande in cui i client si fidano di un certificato revocato mentre accorcia questa finestra chiarisce che il sistema dovrebbe restare online a causa del sovraccarico amministrativo.

In base a ciò, sembra che le CA root offline debbano essere utilizzate solo in aziende molto grandi con più livelli di CA subordinate. Sebbene questi siano minimi poiché spesso dispongono già di un'infrastruttura di certificati e dovrebbero essere considerati l'eccezione in cui vengono utilizzate le CA radice offline. La stragrande maggioranza delle nuove implementazioni si trova nelle reti di piccole e medie dimensioni in cui la CA principale deve rimanere online in modo che possa pubblicare frequentemente sul CDP. Tornando così alla mia domanda, la CA root offline è obsoleta?

    
posta user2320464 17.01.2018 - 18:16
fonte

3 risposte

3

Penso che dovremmo considerare qui le definizioni della parola "offline".

Come suggerisci, i seguenti sono requisiti in conflitto:

  • Lasciare la CA principale spenta tranne quando si emette / revoca un certificato CA subordinato
  • Chiedi alla CA radice di inviare CRL frequenti.

La soluzione che vedo distribuita più spesso è quella di fare "soft air-gapping" o "soft offline" attraverso i firewall in modo che la Root CA possa ancora spingere nuovi CRL al giorno o ogni ora per essere prelevati e ri-pubblicati dal CDP o risponditori OSCP. Blocca tutto il traffico verso / dalla macchina CA principale.

Ho persino sentito parlare di una soluzione intelligente in cui la Root CA spinge i dati CRL sul jack di uscita audio, che è una porta unidirezionale a livello hardware.

    
risposta data 17.01.2018 - 19:27
fonte
2

Un'altra cosa, non c'è motivo per cui una CA root offline non possa pubblicare il suo elenco di revoche di certificati (CRL) in un'altra posizione online. La durata di un CRL può essere estesa a un periodo di tempo molto ampio utilizzando questo comando:

certutil -setreg CA\CRLPeriodUnits 6
certutil -setreg CA\CRLPeriod "Years"

Puoi anche pubblicare Delta CRL che contengono solo revoche che sono state modificate dall'ultima pubblicazione del CRL completo.

Dal momento che l'unica volta che si intende revocare i certificati dalla CA principale offline è se succede qualcosa di importante, c'è il rischio di avere una durata CRL enorme, è probabile che non si revochino mai certificati dal proprio host offline, ma se lo fai e vuoi che i controlli CRL lo raccolgano, puoi comunque avere quella parte, quindi se ne hai bisogno funzionerà.

Le CA offline sono spesso oggetto di discussione, ma se ne hai uno subisci un grosso compromesso, sarai contento di averlo, se non ce l'hai ma ne hai bisogno te ne pentirai. È una questione di rischio vs ricompensa.

    
risposta data 17.05.2018 - 07:29
fonte
1

La CA radice non viene mai messa in linea nel senso che tocca una rete. Utilizzare un'unità disco floppy, un'unità USB, un jack di uscita audio, ecc. Microsoft ha una documentazione ALL OVER ed è facile da trovare, che descrive almeno la struttura di produzione a due livelli: una radice offline e un emittente subordinato aziendale online. L'emittente online è il luogo in cui vengono emessi tutti i certificati e i CRL, ad eccezione del CRL per l'emittente online, che viene generato nella radice offline e trasferito tramite le modalità sopra elencate. È possibile generare tale CRL una volta all'anno (o qualsiasi altra scelta che funzioni meglio per i requisiti di sicurezza) e trasferire tale CRL sul CDP pubblico (punto di distribuzione del certificato) e questo è quanto. In caso contrario, la root offline può essere sempre disattivata.

    
risposta data 11.12.2018 - 21:44
fonte