Question:
Existe-t-il une raison légitime de vous installer en tant qu'autorité de certification racine?
Dan Pantry
2015-12-01 15:42:37 UTC
view on stackexchange narkive permalink

Suivi des commentaires sur une autre question.

Y a-t-il une raison pour laquelle vous pourriez vous installer en tant qu'autorité de certification racine sur votre propre réseau? La seule raison à laquelle je pense est de forcer les ordinateurs du réseau à faire confiance à vos propres certificats auto-signés au lieu de les faire signer numériquement par une autorité de certification tierce.

N'est-ce pas une raison suffisante? Il n'y a personne en qui vous pouvez faire plus confiance que vous et les CA veulent généralement de l'argent et de la paperasse avant de vous donner un certificat.
ce n'est pas une raison suffisante pour moi; un certificat est bon marché dans le grand schéma des choses. Les certificats auto-signés conviennent parfaitement au développement, mais je ne voudrais pas les utiliser en production.
@DanPantry Mais cela a un coût. Un certificat wildcard vous coûtera 200 $, donnez ou prenez quelques-uns. Si vous êtes comme moi, vous avez 20 VMs dans votre LAN pour le téléchargement, Owncloud, Ampache etc. Vous ne voudriez guère payer pour un domaine et un certificat wildcard (ou 20 simples) juste pour un usage privé en LAN. Et ne vous lancez même pas avec l'authentification par certificat ...
@Sebb 200 $, ce n'est pas beaucoup d'argent pour les grandes entreprises
@DanPantry Oui, mais ce n'est pas ce qu'une autorité de certification facturera pour les certificats clients pour chacun des quelques milliers d'employés. En outre, vous avez posé des questions sur "votre propre réseau" et pour moi 200 $ sont une bonne carte graphique ou un espace de sauvegarde de 8 To.
Aucune société sensée n'utilisera un certificat générique sans beaucoup de considération: perdre le contrôle de l'un d'entre eux est un véritable problème. De plus, les certificats génériques ne sont pas disponibles pour les sous-domaines, vous ne pouvez pas les obtenir pour la signature de code, les e-mails, etc.
@Stephane S'ils perdent le contrôle de l'un d'eux, ils peuvent le désinstaller de tous les ordinateurs.
Votre question demande "y a-t-il une raison?" (la réponse est "oui, duh") mais votre titre demande "y a-t-il une raison * légitime *?". Aussi, quelles raisons sont légitimes?
@immibis étant des raisons légitimes qui n'impliquent pas de falsification ou d '"espionnage" (faute d'un meilleur mot) sur l'interaction de l'utilisateur. Essentiellement, que pouvez-vous faire avec ce qui n'est pas une attaque MITM
Où puis-je obtenir un certificat de signature de code de confiance pour 200 $?
Il y a le cas trivial, où l'entreprise en question est une CA ...
@Ben C'est vrai, même si je suppose que la grande majorité des entreprises (moi y compris) ne sont pas des CA
@DanPantry En fait, la plupart des entreprises ont désormais leur propre infrastructure PKI et agissent donc en tant qu'autorités de certification. Ce qu'ils ne sont pas, cependant, est publiquement approuvé par défaut.
@Dan je suis corrigé
@DanPantry "La plupart" a peut-être été un mot risqué pour moi, mais il est certainement très courant maintenant. En général, je n'ai besoin de demander des certificats publics que lorsqu'il est prévu que des machines non professionnelles, en dehors du réseau, utiliseront quelle que soit la technologie. À l'intérieur, il s'agit presque toujours de simplement demander un certificat interne. Ce n'est pas une vraie réponse, car votre question est très précise, mais beaucoup de mes certificats sont destinés à sécuriser les services internes en s'adressant aux services internes - ce serait un gaspillage total de fonds d'utiliser des certificats publics là-bas
@Philipp «Il n'y a personne en qui vous puissiez faire plus confiance que vous». On ne peut jamais savoir.
@PandaLion98 En effet, "quelqu'un en qui je peux faire plus confiance que je ne peux me faire confiance" est une barre très basse; c'est encore un bar que peu d'humains ont même approché de la clairière.
Utilisez [Let's Encrypt] (https://letsencrypt.org/) et vous n'avez pas à vous soucier de tout cela.
Sept réponses:
Philipp
2015-12-01 15:56:01 UTC
view on stackexchange narkive permalink

Une autorité de certification personnalisée est requise si vous souhaitez utiliser https sur votre intranet d'entreprise. Les autorités de certification tierces ne peuvent vous fournir des certificats que pour les domaines publics. Ils ne vous donneront pas de certificats pour intranet.local ou pour tout autre nom d'hôte qui n'est acheminé que dans votre propre réseau. Ainsi, lorsque vous souhaitez avoir un certificat pour votre intranet ou pour l'interface Web de vos propres serveurs, vous devez ajouter une autorité de certification personnalisée et la signer vous-même.

Vous pourriez vous demander "Pourquoi utiliser https sur mon propre réseau "? Il existe actuellement une tendance à tout mettre en œuvre en tant qu'application basée sur un navigateur. Cela signifie que de plus en plus de processus sont gérés via des interfaces Web internes, y compris les plus sensibles. Par exemple, notre société met actuellement en œuvre une application intranet basée sur le Web pour afficher nos propres fiches de paie (et, espérons-le, uniquement les nôtres). Mais dans les grandes organisations, le réseau interne peut devenir si vaste et complexe que vous ne pouvez plus vraiment parler de LAN privé. L'écoute des attaquants internes devient une possibilité qui ne peut pas être supprimée à la main, donc le chiffrement interne devient une précaution raisonnable.

C'est un point intéressant. Je n'ai pas pris en compte le fait que vous ne pouvez pas faire signer de domaines internes par des tiers.
Ce n'est le cas qu'à partir du 1er novembre. Les certificats signés avant le 1er juillet de cette année ne seront révoqués qu'en octobre de l'année prochaine. (Source: [Comodo] (https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/722/16/).) C'est une bonne chose que ceux-ci disparaissent, car parce que vous ne peut pas revendiquer la propriété d'un nom interne, _tout le monde_ aurait pu obtenir un certificat pour celui-ci de toute façon.
Les autorités de certification @user2428118 qui créent des certificats pour les domaines privés sont obsolètes depuis juillet * 2012 *. Personnellement, je ne comprends pas pourquoi il leur a fallu si longtemps pour désapprouver cette pratique, car il est assez irresponsable de certifier un domaine qui signifie quelque chose de complètement différent sur chaque réseau.
Les réseaux locaux ne sont pas aussi sûrs que nous le pensons - presque tous ceux qui peuvent entrer dans le bureau peuvent brancher quelque chose sur un port Ethernet gratuit. C'est une bonne raison d'utiliser HTTPS en interne.
@Philipp Vous avez raison, j'aurais dû le lire plus attentivement.
Vous pouvez utiliser un domaine public pour les applications internes, mais bloquer ensuite l'accès au serveur Web en fonction de l'adresse IP source. Ceci est également plus flexible lorsque les entreprises fusionnent et que les réseaux se combinent.
Bien que vous ne puissiez pas obtenir de certificat pour intranet.local (plus, et dommage pour les autorités de certification qui le feraient), vous pouvez en obtenir un pour intranet.mycompany.com (ou simplement * .mycompany.com, si vous êtes à l'aise avec les implications de la diffusion d'un certificat wildcart plus largement), même si ce domaine n'est accessible qu'à partir de votre réseau interne. C'est bien mieux qu'une autorité de certification racine.
J'ai tendance à penser que c'est une bonne tendance. Toute application qui a un mot de passe devrait vraiment utiliser une forme de cryptage; même s'il n'est accessible qu'en interne, je ne veux pas particulièrement que mes mots de passe volent en clair sur * n'importe quel * réseau.
J'ai travaillé pour une entreprise qui utilisait la connexion Active Directory pour le proxy. Le proxy a utilisé une authentification de base. Je n'ai jamais pris la peine d'activer le mode promiscuité sur ma carte réseau et de renifler le mot de passe de tout le monde. Mais j'ai rapidement utilisé «Password1» pour mon mot de passe.
@IanRingrose ... ou ne laissez pas le serveur de noms public résoudre le nom.
Cela se fait généralement dans un environnement d'entreprise pour activer la surveillance du trafic https. Le serveur de certificats de réseaux fournit probablement ses propres certificats SSL pour les sites https externes. Cela permet à tout le contenu * sécurisé * d'être déchiffré et surveillé. Si vous utilisez un réseau d'entreprise et pensez que votre trafic https est privé, détrompez-vous.
Techniquement, HTTPS ne devrait pas être nécessaire dans un réseau interne, car il devrait être tout à fait possible d'appliquer IPSec à chaque - chaque - connexion. En pratique, c'est un peu plus difficile car IPSec pose beaucoup de problèmes à configurer correctement et très peu de gens savent comment le faire (ou ont même essayé).
@ZachLipton: Pas si vous êtes une grande entreprise qui a plusieurs centaines de serveurs Web internes, quelques dizaines d'équipes pour les gérer, et que vous ne voulez pas que l'équipe qui gère les serveurs de données d'ingénierie puisse se faire passer pour la comptabilité, ou vice versa. Et dès que vous souhaitez utiliser des certificats clients, tout sauf le déploiement de votre propre CA devient de toute façon impraticable, pour des raisons financières * et * de gestion * et * de sécurité.
Romain Clair
2015-12-01 15:52:33 UTC
view on stackexchange narkive permalink

Les certificats sont une question de confiance.

Les autorités de certification sont censées être de confiance dans le monde entier afin que nous puissions nous y fier même si nous ne nous connaissons pas.

Dans les cas où vous communiquez uniquement avec des personnes que vous connaissez ou ... vous-même, comme lorsque vous êtes responsable d'un réseau de machines différentes, vous pouvez choisir de vous fier davantage à vous-même qu'à une CA que vous ne connaissez pas en fait .

Un exemple pourrait être lorsque vous souhaitez créer des tunnels via openVPN entre les ordinateurs que vous gérez.

Zach Lipton
2015-12-02 02:32:55 UTC
view on stackexchange narkive permalink

Vous «espionnez» intentionnellement à des fins de débogage, en utilisant des outils proxy tels que Fiddler ou Charles pour capturer le trafic https.

Ces outils sont souvent utilisés par les développeurs d'applications mobiles, entre autres, pour déboguer les communications client-serveur. Une autorité de certification racine peut être générée et installée sur un appareil mobile, un ordinateur défini comme proxy http de cet appareil, et tout le trafic Web, y compris les détails des en-têtes, des cookies, etc. sera affiché pour le développeur.

Ceci est utile pour comprendre les performances des requêtes réseau, décider s'il faut blâmer le client ou le serveur pour un bogue, ou procéder à l'ingénierie inverse des API existantes.

Stephane
2015-12-01 19:23:54 UTC
view on stackexchange narkive permalink

Une autre réponse (supplémentaire) est que l'autorité de certification privée a un domaine de sécurité différent de celui des autorités de certification publiques.

Une autorité de certification publique certifiera les informations publiques: le fait que le propriétaire de la clé privée correspondant a un droit public particulier au moment de la demande. ils ne se soucient pas vraiment de la ségrégation interne et ne sécuriseront certainement pas les ressources internes (par exemple, l'exemple fourni par @Philipp sur les noms d'hôtes n'appartenant pas au DNS public).

Une autorité de certification privée est une question sécuriser vos ressources internes: il est conçu pour avoir un domaine d'application plus limité: il ne fonctionnera que dans le cadre de votre réseau. Par conséquent, il peut être utilisé pour sécuriser la communication interne et fournir une authentification interne qui n'a que peu ou pas de sens en dehors du réseau.

De plus, leur utilisation est un peu plus sûre: vous pouvez déléguer l'accès plus facilement avec eux. Par exemple, l'administrateur d'une succursale locale pourrait avoir le droit nécessaire d'émettre des certificats pour les systèmes et les personnes sous son contrôle sans avoir à lui déléguer l'identité d'entreprise complète.

Wolfgang
2015-12-02 02:15:34 UTC
view on stackexchange narkive permalink

Une autre raison pour laquelle une organisation peut souhaiter installer un certificat racine est le filtrage de contenu. Mon lycée avait un filtre de contenu juste avant le pare-feu, destiné à empêcher les étudiants d'accéder à divers types de contenu. Cependant, il n'a pas fait un très bon travail de filtrage des connexions HTTPS - parfois il bloquait en fonction de l'adresse IP, mais il avait tendance à être très lourd sur certains sites (bloquant toute l'adresse IP) et à ne pas filtrer du tout sur d'autres (donnant un accès complet et non filtré). Par exemple, les élèves ont rapidement compris qu'ils pouvaient accéder à Facebook s'ils tapaient https: // facebook.com . (Je pense que le filtre de contenu était suffisamment ancien pour ne pas non plus prendre en charge l'indication du nom du serveur.)

Peu de temps avant mon diplôme, ils ont installé un nouveau filtre de contenu qui fournissait un filtrage complet du trafic HTTPS. Ils ont installé une autorité de certification racine sur tous les ordinateurs et le pare-feu créait des certificats à la volée pour les sites Web HTTPS. Cela permettait le blocage basé sur les URL (plutôt que le blocage beaucoup plus grossier basé sur le nom d'hôte qu'ils auraient dû utiliser s'ils n'avaient pas usurpé les certificats), de sorte que, par exemple, ils pouvaient désormais permettre aux étudiants de regarder des vidéos YouTube tout en bloquant d'autres.

Fait intéressant, le pare-feu avait une option pour détecter le trafic vers les sites bancaires, avec un gros avertissement pour laisser l'option désactivée pour la sécurité. (Il y avait probablement une liste blanche de domaines financiers.)

user1751825
2015-12-03 06:51:19 UTC
view on stackexchange narkive permalink

Si j'exécutais un réseau d'entreprise et que je voulais garder un œil sur ce que faisaient mes employés, je créerais un serveur de certificats et configurerais tous les ordinateurs clients pour qu'ils ne fassent confiance qu'aux certificats de ce serveur. Je demanderais alors à ce serveur d'émettre ses propres certificats pour tous les sites que mes employés pourraient avoir besoin d'utiliser.Mes employés utiliseraient alors volontiers leur gmail, Facebook, etc. , mais par mon propre serveur CA réseau interne. Leur trafic réseau non chiffré complet peut ensuite être enregistré et surveillé par le serveur proxy du réseau.

Plus un pour la réponse que nous n'aimons pas. C'est comme un motif sombre pour la sécurité du réseau.
user2867314
2015-12-02 23:43:59 UTC
view on stackexchange narkive permalink

J'ai une opinion à ce sujet (et ce n'est qu'une opinion).

"La seule raison à laquelle je pense est de forcer les ordinateurs du réseau à faire confiance à vos propres certificats auto-signés au lieu de les obtenir signé numériquement par une autorité de certification tierce. "

Si vous n'ajoutez qu'une seule autorité de certification racine, il est peu probable que le certificat auto-signé au sens traditionnel du terme soit affiché, il s'agit d'un certificat signé par une autorité de certification interne (bien que ce certificat de l'autorité de certification sera auto-signé). À moins que vous ne frappiez le même certificat sur chaque boîte, ce serait une idée très stupide. Il vous suffit de signer le certificat correct avec celui-ci, puis de verrouiller à nouveau cette autorité de certification, ne lui donnant jamais accès au réseau et les demandes de signature sneakernet en cas de besoin.

De plus, il est préféré (par moi) à un certificat générique en tant que compromis de un hôte ne peut conduire à l'interception que de cet hôte (ce qu'il ferait probablement de toute façon) plutôt que de tout ce qui se trouve dans ce domaine.

Enfin, une autorité de certification tierce est pour moi une ligne de confiance inutile sur un réseau interne . Vous pouvez contrôler vos propres politiques internes mais pas les leurs - bien sûr, si elles sont corrompues / compromises, elles peuvent toujours vous foutre en l'air à moins que vous ne fassiez confiance UNIQUEMENT à votre propre autorité de certification.J'ai donc des sentiments mitigés sur ce point.

Si vous protégez suffisamment ce certificat CA, il n’est pas moins sécurisé qu’un tiers et, à mon avis, plus sûr qu’un certificat générique.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...