Вопрос или проблема
Из-за недавних проблем с удостоверяющим центром Entrust, сертификаты, выданные Entrust, теперь подписываются корневыми сертификатами SSL.com. Этот новый корень не очень стар (действителен с 2022 года), и мы обнаружили несколько клиентов с системами безопасности (и хранилищами ключей Java и тому подобное), у которых его нет в списках доверенных корней.
Помимо обращения непосредственно в доверенный центр сертификации – существует ли какой-либо дайджест и/или общедоступный источник правды о обновлениях общих корневых хранилищ (например, доверенных корней Windows)? Ссылки CA Browser (Chrome и т.д.), объявляющие о новых доверенных корневых сертификатах?
Мы хотели бы иметь возможность ссылаться на общественную документацию и говорить “этот корень был открыт и/или разрешен с такой-то даты”, когда новых корневых сертификатов может не оказаться в используемом хранилище ключей.
Я понимаю, что публичный документ на сайте не является источником истины для доверия – но это должно быть что-то, что может понять простой человек, чтобы наши команды службы поддержки могли общаться с командами безопасности других компаний, которые могут не быть знатоками в области TLS…
Есть ли какие-либо мысли о чем-то более общем, что может быть использовано, чтобы объяснить клиенту, почему корню следует доверять?
Ссылка Salesforce на включение корней в хранилище браузера Firefox наиболее близка к этому, поскольку она перечисляет поддержку версий Firefox для каждого корня.
SSL.com USA, Global https://www.ssl.com/ SSL.com TLS RSA Root CA 2022 Firefox 117 2046 Aug 19
ссылки
https://security.googleblog.com/2024/06/sustaining-digital-certificate-security.html
https://bugzilla.mozilla.org/show_bug.cgi?id=1277336
https://wiki.mozilla.org/index.php?title=CA/IncludedCertificates&redirect=no
https://ccadb.my.salesforce-sites.com/mozilla/CACertificatesInFirefoxReport
https://learn.microsoft.com/en-us/security/trusted-root/2023/nov2023
https://www.ccadb.org/resources
Программу доверенных корней можно довольно легко найти по имени удостоверяющего центра – найденный сертификат также имеется там (добавлена ссылка на источник)
https://learn.microsoft.com/en-us/security/trusted-root/2023/nov2023
Мы хотели бы иметь возможность ссылаться на общественную документацию и говорить “этот корень был открыт”
Вам нужен автоматический способ для инвентаризации сертификатов на устройствах в пределах вашей области управления.
Это включает в себя сертификаты, которые хранятся в хранилищах, а также других известных местоположениях файловой системы.
.
Ответ или решение
Теория
В последние годы вопросы безопасности цифровых сертификатов стали особенно актуальны, в частности из-за перехода некоторых удостоверяющих центров (CA) на новые корневые сертификаты, как это произошло с Entrust и SSL.com. Понимание того, как отслеживать добавление новых корневых сертификатов в хранилища доверенных корней Windows, является важной задачей для IT-специалистов.
Одним из главных механизмов, позволяющих операционным системам и приложениям обеспечивать безопасность взаимодействий, является структура цифровых сертификатов, имплементированная через инфраструктуру открытых ключей (PKI). Корневые сертификаты, доверенные системой, содержатся в специальных хранилищах, и добавление нового корневого сертификата в это хранилище автоматически делает его доверенным для системы.
На профессиональном уровне важно знать, как и когда тот или иной сертификат был добавлен в это хранилище. Однако не все пользователи или администраторы систем могут найти или интерпретировать эту информацию самостоятельно.
Пример
Возьмем случай, когда новые корневые сертификаты SSL.com начали использоваться взамен Entrust. Именно из-за таких изменений могут возникать проблемы у клиентов, имеющих устаревшую версию доверенных сертификатов в их системах.
-
Microsoft распространяет актуальные списки доверенных корневых сертификатов через свое хранилище, обновляемое при помощи Windows Update. Эти обновления содержат новую информацию о сертификатах, делая их доверенными для всей экосистемы Windows.
-
Для браузеров, таких как Firefox и Chrome, процесс несколько иной. Операции с доверенными корневыми сертификатами осуществляются через программы управления какими такими как программа Mozilla Root Store или проект Managed Chromium Root Program. Например, Mozilla периодически публикует отчеты о корневых сертификатах, включаемых в Firefox, что обеспечивается реестром CCADB (Common CA Database).
Применение
Для мониторинга и управления доверием к новому корневому сертификату следует:
-
Проверить системные обновления: Убедитесь, что все обновления Windows установлены, так как именно они могут внести изменения в хранилище доверенных коренных сертификатов.
-
Использовать внешнюю документацию: Направьте своих клиентов на официальные документы, подтверждающие добавление сертификата в доверенные. Например, ссылки на страницы Microsoft или Mozilla, где описаны изменения в доверенных корневых сертификатах.
-
Автоматизировать инвентарь сертификатов: Внедрите инструменты для автоматизированной инвентаризации всех сертификатов, присутствующих в системах вашей сети. Это позволит оперативно выявлять отсутствие определенных сертификатов и принимать меры для их добавления.
-
Обучите команды: Ваши команды службы поддержки должны быть обучены эффективно объяснять эти процессы вашим клиентам, используя простые и доступные объяснения, чтобы повысить их доверие к безопасности предлагаемых решений.
Заключение
Таким образом, для успешного управления доверием в IT-инфраструктуре необходимо понимать, как функционируют процессы обновления корневых сертификатов и как они отражаются на безопасности ваших систем. Это включает в себя использование как автоматизированных действий, так и предоставление клиентам легкодоступной информации о доверенных сертификатах. Информационные ресурсы большого масштаба, такие как учётные записи CA Browser Forum и CCADB, предлагают исчерпывающее представление о том, какие сертификаты и когда становятся доверенными.