Praha ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH | sevecek.com Certifikační autority a certifikační politiky
O čem bude řeč? Musím mít offline root CA? –a jak dlouhu může platit? Mohu mít více CA? Jakou si mám vybrat edici OS? Jaké existují a jak fungují certifikační politiky? Jaká jsou rizika spojená s předáním správy?
"Bezpečnost" certifikačních autorit Pojem bezpečnost sám o sobě je nesmysl –absolutní bezpečnost neexistuje Bezpečnost je potřeba hodnotit mírou rizika a nákladů na řešení krizových situací
Proč mají veřejné CA offline root? Každý OS věří root CA Je velmi drahé "být důvěryhodný" –veřejné prostředí nemá centrální správu Kořenovou CA nelze zneplatnit –problém slepice vs. vejce Bylo by velmi drahé "zneplatnit" kořenovou CA –poškození reputace –konec businessu?
Co je špatného na offline CA? Špatně se to spravuje Musí pravidelně publikovat CRL –čím méně často, tím to je méně "bezpečné" –čím více často, tím "dražší" bude publikace
Trust management v podnikovém prostředí Active Directory a Group Policy 6x kliknout na zařízení důvěry –do 2 hodin vykonáno 6x kliknout na zneplatnění certifikátu –do 2 hodin vykonáno
Zajímá mě tedy platnost kořenové certifikační autority? Ne Až budu chtít, tak si ji zneplatním nebo obnovím (renew)
Rizika napadení řadiče domény Libovolný řadič domény (DC) Libovolné domény z celého forestu Napadení = reinstalace celého forestu
Služby poskytované online AD integrovanou CA Certifikáty vnitřních TLS serverů –LDAPS, RDP, HTTPS, SMTPS, 802.1x, VPN Certifikáty uživatelů k přihlašování –Kerberos smart kard logon (PKINIT) –TLS client certificate authentication
Rizika napadení online AD integrované CA Reinstalace CA a nahrazení všech certifikátů na všech službách –servery –uživatelé Reinstalace celého forestu v případě NTAuth certifikační autority
Rizikovost DC vs. CA Podniková vnitřní CA obvykle nemůže mít větší rizikovost než libovolné DC Potřebuji tedy offline root CA? –jen pokud vydávám do nespravovaného prostředí
Certifikační politiky a příjemci certifikátů Počítače a služby –buď automaticky podle jména počítače –nebo si o ně žádá jejich správce •možná by to měl někdo potvrdit Uživatelé –buď automaticky podle loginu v AD –žádají si sami •možná by to měl někdo potvrdit
Separace rolí "potvrzovačů" Certificate Manager Certificate Enrollment Agent –enroll on behalf of
Je tedy na něco mít root CA? Qualified Subordination –name constraints –EKU constraints
Qualified Subordination CERTREQ -policy -cert RootCaCN in.req policy.inf out.req
Name Constraints [NameConstraintsExtension] Include = NameConstraintsPermitted Exclude = NameConstraintsExcluded Critical = True [NameConstraintsPermitted] DirectoryName = "DC=gopas, DC=virtual" = "" DNS =.gopas.cz UPN URI = ftp://.gopas.virtual IPAddress = / [NameConstraintsExcluded]
Application policy constraints [ApplicationPolicyStatementExtension] Policies = App Policy, AppClAuthPolicy Critical = False [App Policy] OID = ; Secure [AppClAuthPolicy] OID = ; Client Authentication [ApplicationPolicyConstraintsExtension] RequireExplicitPolicy = 1 InhibitPolicyMapping = 1