Nombre de la autoridad de certificación

4

Estoy leyendo el siguiente artículo de TechNet de Microsoft: Nombre de la autoridad de certificación

¿Alguien puede ayudarnos a aclarar lo siguiente:

  

En los Servicios de dominio de Active Directory (AD DS), el nombre que especifica cuando configura un servidor como CA se convierte en el nombre común de la CA, y este nombre se refleja en todos los certificados que emite la CA. Por este motivo, es importante que no utilice el nombre de dominio completo para el nombre común de la CA. De esta manera, los usuarios malintencionados que obtienen una copia de un certificado no pueden identificar y usar el nombre de dominio completo de la CA para crear una vulnerabilidad de seguridad potencial.

¿Por qué el nombre de la autoridad de certificación (CA) nunca debe ser el mismo que el nombre de la computadora del servidor (NetBIOS o DNS / nombre de host) y cuáles son los riesgos ?

    
pregunta DaveIce 07.08.2016 - 11:15
fuente

1 respuesta

4

El esquema de nombre de nombre común predeterminado en ADCS es <DomainName>-<CAHostName>-CA . Para escenarios muy pequeños y puramente internos funcionaría, sin embargo, este esquema expone al menos dos propiedades: nombre de dominio interno de Active Directory y nombre de host. Además, si CA se encuentra en un controlador de dominio, puede revelar el nombre del controlador de dominio. Por ejemplo, Contoso-DC1-CA diría que el nombre de dominio interno es Contoso , el nombre de host de CA es DC1 . Por lo tanto, podemos suponer que este servidor también actúa como un controlador de dominio. En algunos términos, este sería un gran comienzo para un atacante en el aprendizaje de estructuras internas.

Además, el sufijo de nombre distinguido predeterminado contiene la ruta X.500 completa a un dominio donde reside CA. Por ejemplo, DC=HQ, DC=Int, DC=Contoso, DC=com . Aquí podemos identificar que la empresa Contoso tiene al menos tres dominios de AD en el árbol LDAP: el dominio superior es Contoso (lo más probable, nombre de la organización), el dominio secundario es Int (probablemente, Interno) y el subchild es HQ (presumiblemente, sede)

Sin embargo, los riesgos de seguridad no son tan peligrosos, porque en muchos casos es más fácil recuperar esta información (y mucho más) de otras maneras. Por ejemplo, investigar certificados de clientes, usar herramientas de ingeniería social, etc. Las recomendaciones de nombres juegan un papel muy importante en la flexibilidad. Cuando CA se adhiere a un dominio y nombre de host en particular, sería muy difícil mover a CA a otro lugar (debido a las reorganizaciones) y la información del nombre de CA sería engañosa para los usuarios corporativos. Eventualmente, tendrá que retirar el servidor de CA y mover los clientes a una nueva CA en un nuevo lugar.

Como resultado, se recomienda construir sus CA ya que no están vinculadas a ningún dominio específico. Sin embargo, se incluirá información de la organización.

Supongamos que está implementando ADCS de 2 niveles en Contoso Pharmaceuticals y planea implementarlo en los dominios hq.int.contoso.com y west.int.contoso.com , luego podría usar los siguientes nombres para CA raíz fuera de línea y CA emisoras en línea:

Root CA common name:
    CN=Contoso Pharmaceuticals Root CA
    OU=Security Division
    O=Constoso Pharmaceuticals Ltd.
    L=Philadelphia
    S=PA
    C=US
Issuing CA (headquarters) common name:
    CN=Contoso Pharmaceuticals Class 3 Client CA
    OU=Security Division
    O=Constoso Pharmaceuticals Ltd.
    L=Philadelphia
    S=PA
    C=US
Issuing CA (west branch) common name:
    CN=Contoso Pharmaceuticals West Coast Class 2 Client CA
    OU=Security Division
    O=Constoso Pharmaceuticals Ltd.
    L=San Francisco
    S=CA
    C=US

Este esquema no revela nombres internos y no está vinculado a ningún dominio de Active Directory, por lo que será fácil realizar la migración del servidor de CA a través de dominios y árboles e incluso bosques durante las reorganizaciones. Por otro lado, proporcionan información suficiente para identificar a la organización que posee estas CA y pueden proporcionar a los usuarios algunas pistas sobre la ubicación de la CA para seleccionar la CA más cercana. Las direcciones de ubicación no son necesarias (porque pueden recuperarse de fuentes públicas), pero pueden ser requeridas por las leyes. Como mínimo, los atributos Organizational Unit , Organization y Country RDN deben especificarse en el sufijo DN.

La denominación de ADCS es importante, pero muchos administradores se olvidan de otra cosa donde la denominación es importante: las extensiones de certificado Authority Information Access y CRL Distribution Points . El esquema de nomenclatura predeterminado revela mucha más información (a un posible atacante) que el nombre de CA predeterminado. Y es difícil migrar CA en otro lugar con ubicaciones predeterminadas de CDP y AIA. Hace algún tiempo escribí una guía que utiliza las mejores prácticas en los esquemas de nombres de URL de CDP / AIA. Esto también podría ser útil para usted: Diseñar CRL Puntos de distribución y ubicaciones de acceso a la información de la autoridad

    
respondido por el Crypt32 07.08.2016 - 12:04
fuente

Lea otras preguntas en las etiquetas