Praha ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH | sevecek.com Certifikační autority a certifikační politiky

O čem bude řeč?  Musím mít offline root CA? –a jak dlouhu může platit?  Mohu mít více CA?  Jakou si mám vybrat edici OS?  Jaké existují a jak fungují certifikační politiky?  Jaká jsou rizika spojená s předáním správy?

"Bezpečnost" certifikačních autorit  Pojem bezpečnost sám o sobě je nesmysl –absolutní bezpečnost neexistuje  Bezpečnost je potřeba hodnotit mírou rizika a nákladů na řešení krizových situací

Proč mají veřejné CA offline root?  Každý OS věří root CA  Je velmi drahé "být důvěryhodný" –veřejné prostředí nemá centrální správu  Kořenovou CA nelze zneplatnit –problém slepice vs. vejce  Bylo by velmi drahé "zneplatnit" kořenovou CA –poškození reputace –konec businessu?

Co je špatného na offline CA?  Špatně se to spravuje  Musí pravidelně publikovat CRL –čím méně často, tím to je méně "bezpečné" –čím více často, tím "dražší" bude publikace

Trust management v podnikovém prostředí  Active Directory a Group Policy  6x kliknout na zařízení důvěry –do 2 hodin vykonáno  6x kliknout na zneplatnění certifikátu –do 2 hodin vykonáno

Zajímá mě tedy platnost kořenové certifikační autority?  Ne  Až budu chtít, tak si ji zneplatním nebo obnovím (renew)

Rizika napadení řadiče domény  Libovolný řadič domény (DC)  Libovolné domény z celého forestu  Napadení = reinstalace celého forestu

Služby poskytované online AD integrovanou CA  Certifikáty vnitřních TLS serverů –LDAPS, RDP, HTTPS, SMTPS, 802.1x, VPN  Certifikáty uživatelů k přihlašování –Kerberos smart kard logon (PKINIT) –TLS client certificate authentication

Rizika napadení online AD integrované CA  Reinstalace CA a nahrazení všech certifikátů na všech službách –servery –uživatelé  Reinstalace celého forestu v případě NTAuth certifikační autority

Rizikovost DC vs. CA  Podniková vnitřní CA obvykle nemůže mít větší rizikovost než libovolné DC  Potřebuji tedy offline root CA? –jen pokud vydávám do nespravovaného prostředí

Certifikační politiky a příjemci certifikátů  Počítače a služby –buď automaticky podle jména počítače –nebo si o ně žádá jejich správce •možná by to měl někdo potvrdit  Uživatelé –buď automaticky podle loginu v AD –žádají si sami •možná by to měl někdo potvrdit

Separace rolí "potvrzovačů"  Certificate Manager  Certificate Enrollment Agent –enroll on behalf of

Je tedy na něco mít root CA?  Qualified Subordination –name constraints –EKU constraints

Qualified Subordination  CERTREQ -policy -cert RootCaCN in.req policy.inf out.req

Name Constraints [NameConstraintsExtension] Include = NameConstraintsPermitted Exclude = NameConstraintsExcluded Critical = True [NameConstraintsPermitted] DirectoryName = "DC=gopas, DC=virtual" = "" DNS =.gopas.cz UPN URI = ftp://.gopas.virtual IPAddress = / [NameConstraintsExcluded]

Application policy constraints [ApplicationPolicyStatementExtension] Policies = App Policy, AppClAuthPolicy Critical = False [App Policy] OID = ; Secure [AppClAuthPolicy] OID = ; Client Authentication [ApplicationPolicyConstraintsExtension] RequireExplicitPolicy = 1 InhibitPolicyMapping = 1