¿Está obsoleta la CA raíz fuera de línea?

7

Hay innumerables artículos prácticos y prácticas recomendadas que recomiendan el uso de una autoridad de certificado raíz (CA) fuera de línea. Aunque como sugiere el título, ¿esta recomendación es obsoleta?

El contexto de mi pregunta es para pequeñas y medianas empresas. NO grandes empresas (o de otro tipo) con múltiples niveles de CA subordinadas.

Revocar un certificado de CA raíz, como se comentó en publicaciones anteriores, es un proceso difícil. Solo se puede lograr a través de:

  1. actualizaciones de software
  2. scripts
  3. sistemas de gestión de configuración
  4. adhoc

La premisa de una entidad emisora raíz fuera de línea (metafóricamente hablando) es tenerla en una computadora portátil donde solo se pone en línea para aprobar una entidad emisora de certificados subordinada. De lo contrario, reside en la máxima seguridad física posible. Si una CA subordinada se ve comprometida, no se pierde todo ya que la CA raíz fuera de línea está bien. Sin embargo, la gran mayoría no incluye un punto de distribución de CRL (CDP) que hace imposible determinar qué certificados se han revocado. De este modo, la revocación de una CA subordinada inmediata es similar a la de una revocación de CA raíz. Nada se ganó al tener una CA raíz fuera de línea en primer lugar.

La alternativa es publicar un CDP que parece tener más sentido pero ya no permite que la CA raíz esté fuera de línea. Si el CDP se actualiza una vez al mes, el peor de los casos es que los clientes no identificarán un certificado revocado durante un mes entero. Mientras tanto, la administración de esto requiere que el personal arranque el sistema y actualice el CDP mensualmente. Al alargar esta ventana (+1 mes) solo se crea una ventana más grande donde los clientes confiarían en un certificado revocado, mientras que al acortar esta ventana deja claro que el sistema debe permanecer en línea debido a la sobrecarga administrativa.

Según esto, parece que las CA raíz raíz sin conexión solo deberían usarse en empresas muy grandes con múltiples niveles de CA subordinadas. Aunque estos son mínimos, ya que a menudo ya tienen una infraestructura de certificados y deben considerarse la excepción en la que se utilizan entidades de certificación raíz sin conexión. La mayoría de los nuevos lanzamientos se realizan en redes de tamaño pequeño a mediano, donde la CA raíz debe permanecer en línea para que pueda publicar con frecuencia en el CDP. De este modo, volviendo a mi pregunta, ¿está obsoleta la CA raíz fuera de línea?

    
pregunta user2320464 17.01.2018 - 18:16
fuente

3 respuestas

3

Creo que debemos considerar aquí las definiciones de la palabra "fuera de línea".

Como sugiere, los siguientes son requisitos conflictivos:

  • Haga que la CA raíz se apague, excepto al emitir / revocar un certificado de CA subordinada.
  • Haga que la CA raíz emita CRL frecuentes.

La solución que veo que se implementa con mayor frecuencia es hacer "soft-gapping" o "soft offline" a través de cortafuegos para que la entidad emisora raíz aún pueda impulsar nuevas CRL diarias o por hora para que el CDP las recoja y vuelva a publicar. o respondedores OSCP. Bloquee todo el tráfico hacia / desde la máquina de la CA raíz.

Incluso he oído hablar de una solución inteligente en la que la CA raíz aplica los datos de CRL a través de su conector de salida de audio, que es un puerto de una sola vía en el nivel de hardware.

    
respondido por el Mike Ounsworth 17.01.2018 - 19:27
fuente
2

Otra cosa, no hay razón para que una CA raíz fuera de línea no pueda publicar su lista de revocación de certificados (CRL) en otra ubicación que esté en línea. La vida útil de una CRL se puede extender a un período de tiempo muy grande con este comando:

certutil -setreg CA\CRLPeriodUnits 6
certutil -setreg CA\CRLPeriod "Years"

También puede publicar las CRL de Delta que contienen solo las revocaciones que han cambiado desde que se publicó la última CRL completa.

Ahora, dado que la única vez que revocará los certificados de la CA raíz fuera de línea es si ocurre algo importante, lo que corre el riesgo de tener una gran vida útil de CRL, es probable que nunca revoque ningún certificado de su host fuera de línea. Usted hace y quiere que los cheques de la CRL lo recojan, aún puede tener esa parte en su lugar, por lo que si la necesita, funcionará.

Desconectado Los CA son a menudo un tema debatido, pero si tienes uno y sufres un compromiso importante, te alegrarás de tenerlo, si no lo tienes pero lo necesitas, lo lamentarás. Es una cuestión de riesgo vs recompensa.

    
respondido por el KevJB 17.05.2018 - 07:29
fuente
1

La CA raíz nunca se pone en línea en el sentido de que toca una red. Use una unidad de disquete, una unidad USB, un conector de salida de audio, etc. Microsoft tiene documentación TODO SOBRE y es fácil de encontrar, que describe la estructura de producción mínima como dos niveles como mínimo: una raíz fuera de línea y un emisor subordinado empresarial en línea. El Emisor en línea es desde donde se emiten todos los certificados y las CRL, con la excepción de la CRL para el Emisor en línea, que se genera en la Raíz fuera de línea y se transfiere a través de las formas mencionadas anteriormente. Usted genera esa CRL una vez al año (o lo que elija que funcione mejor para los requisitos de seguridad) y transfiere esa CRL al CDP público (punto de distribución de certificado) y eso es todo. De lo contrario, la raíz sin conexión se puede desempolvar todo el tiempo.

    
respondido por el Jay Maddox 11.12.2018 - 21:44
fuente