Utilizzo di certificati esterni su una rete che non consente l'accesso HTTP / S in uscita

2

Alcune reti altamente protette e DMZ prevengono tutte le comunicazioni verso gli host esterni. Ciò può causare problemi con la convalida dei dati firmati esternamente

Posso immaginare che i problemi con la convalida della firma si verificano quando si controllano i dati CRL e OCSP dei certificati in molte aree come

  • Authenticode e amp; oggetti Powershell firmati
  • Autenticazione
  • S / MIME
  • Server che scaricano e verificano patch o aggiornamenti AV firmati
  • ...

Come si affronta la mancanza di connettività esterna per quanto riguarda il controllo della revoca dei certificati?

    
posta random65537 02.06.2012 - 06:51
fonte

2 risposte

1

Revoca. OCSP e CRL sono alquanto irrilevanti al giorno d'oggi. Sono non molto efficaci per la sicurezza . E se non riesci a raggiungere l'autorità di revoca, nessun problema, il browser ignora felicemente l'errore di rete e procede come se i certificati non sono corretti . Quindi l'impossibilità di creare connessioni in uscita per OCSP o CRL non dovrebbe rappresentare un problema.

Aggiornamenti. Il grande è il download degli aggiornamenti (ad es. aggiornamenti software, aggiornamenti A / V). Penso che potresti voler aggiungere una whitelist al firewall delle connessioni in uscita consentite, in modo che le macchine possano ancora ottenere i loro aggiornamenti di sicurezza.

Per gli aggiornamenti di Windows, penso che tu voglia consentire l'accesso alle porte TCP 80 e 443 sui seguenti domini:

*.download.windowsupdate.com
*.windowsupdate.com
download.microsoft.com
ntservicepack.microsoft.com
windowsupdate.microsoft.com
*.windowsupdate.microsoft.com
wustat.windows.com
update.microsoft.com
*.update.microsoft.com
test.stats.update.microsoft.com

Vedi anche Regola del firewall per consentire l'accesso agli aggiornamenti di Windows o ad altre risorse su un CDN? .

    
risposta data 03.06.2012 - 04:37
fonte
0

I messaggi OCSP sono codificati in ASN.1 e di solito sono accessibili tramite HTTP. Se si sta stabilendo una connessione a un host remoto, non dovrebbe mai esserci un problema nell'accesso a OCSP. Come regola generale se hai bisogno di un PKI allora hai bisogno di OCSP.

Da una nota a margine, la PKI non è sempre lo strumento migliore per il lavoro. Spesso la confezione di un'applicazione con la chiave pubblica per verificare un nuovo aggiornamento o altre forme di codice mobile è accettabile.

    
risposta data 03.06.2012 - 02:48
fonte

Leggi altre domande sui tag