Uso de certificados externos en una red que no permite el acceso HTTP / S de salida

2

Algunas redes altamente seguras y DMZ impiden toda comunicación a hosts externos. Esto puede causar problemas con la validación de datos firmados externamente

Puedo suponer que se producen problemas con la validación de firmas cuando se verifican los datos de CRL y OCSP de los certificados en muchas áreas como

  • Authenticode & Objetos firmados de Powershell
  • autenticación
  • S / MIME
  • Servidores que descargan y verifican parches, o actualizaciones de AV firmadas
  • ...?

¿Cómo se aborda la falta de conectividad externa con respecto a la verificación de la revocación de certificados?

    
pregunta random65537 02.06.2012 - 06:51
fuente

2 respuestas

1

Revocación. Los OCSP y las CRL son bastante irrelevantes en estos días. Son no muy efectivos para la seguridad . Y si no puede comunicarse con la autoridad de revocación, no hay problema, el navegador ignora el error de la red y continúa como si los certificados no han sido revocados . Por lo tanto, la incapacidad de hacer conexiones salientes para OCSP o CRL no debería plantear problemas.

Actualizaciones. La principal es la descarga de actualizaciones (por ejemplo, actualizaciones de software, actualizaciones de A / V). Creo que es posible que desee agregar una lista blanca a su firewall de conexiones salientes permitidas, para que las máquinas aún puedan obtener sus actualizaciones de seguridad.

Para las actualizaciones de Windows, creo que desea permitir el acceso a los puertos TCP 80 y 443 en los siguientes dominios:

*.download.windowsupdate.com
*.windowsupdate.com
download.microsoft.com
ntservicepack.microsoft.com
windowsupdate.microsoft.com
*.windowsupdate.microsoft.com
wustat.windows.com
update.microsoft.com
*.update.microsoft.com
test.stats.update.microsoft.com

Consulte también ¿Regla de firewall para permitir el acceso a actualizaciones de Windows u otros recursos en un CDN? .

    
respondido por el D.W. 03.06.2012 - 04:37
fuente
0

Los mensajes OCSP están codificados en ASN.1 y generalmente se accede a través de HTTP. Si está estableciendo una conexión a un host remoto, nunca debería haber problemas para acceder a OCSP. Como regla general, si necesita una PKI, entonces necesita OCSP.

En una nota al margen, la PKI no siempre es la mejor herramienta para el trabajo. A menudo, el empaquetado de una aplicación con la clave pública para verificar una nueva actualización u otras formas de código móvil es aceptable.

    
respondido por el rook 03.06.2012 - 02:48
fuente

Lea otras preguntas en las etiquetas