Pourquoi de nombreux administrateurs utilisent-ils la stratégie « Désactiver la mise à jour automatique des certificats racines » ?

Windows Server & IT Pro Active Directory & Entra ID
,
1

Mon entreprise distribue un programme d’installation Windows pour un produit serveur. Conformément aux bonnes pratiques, il est signé à l’aide d’un certificat. Conformément aux conseils de Microsoft, nous utilisons un certificat de signature de code GlobalSign, dont Microsoft affirme qu’il est reconnu par défaut par toutes les versions de Windows Server.

Tout cela fonctionne bien, sauf lorsqu’un serveur a été configuré avec Stratégie de groupe : Configuration ordinateur / Modèles d’administration / Système / Gestion de la communication Internet / Paramètres de communication Internet / Désactiver la mise à jour automatique des certificats racines défini sur Activé.

Nous avons constaté qu’un de nos premiers bêta-testeurs fonctionnait avec cette configuration, ce qui provoquait l’erreur suivante lors de l’installation :

Un fichier requis ne peut pas être installé car le fichier cabinet [chemin long vers le fichier cab] a une signature numérique invalide. Cela peut indiquer que le fichier cabinet est corrompu.

Nous avons considéré cela comme une anomalie, car personne n’a pu expliquer pourquoi le système était configuré ainsi. Cependant, maintenant que le logiciel est disponible au grand public, il semble qu’un pourcentage à deux chiffres de nos clients soit configuré avec ce paramètre et personne ne sait pourquoi. Beaucoup sont réticents à modifier ce paramètre.

Nous avons rédigé un article de base de connaissances pour nos clients, mais nous ne voulons vraiment pas que le problème survienne du tout, car nous nous soucions réellement de l’expérience client.

Certaines choses que nous avons remarquées lors de notre investigation :

  • Une installation fraîche de Windows Server n’affiche pas le certificat GlobalSign dans la liste des autorités racines de confiance.

  • Avec Windows Server non connecté à Internet, l’installation de notre logiciel fonctionne correctement. À la fin de l’installation, le certificat GlobalSign est présent (non importé par nous). En arrière-plan, Windows semble l’installer de manière transparente lors de la première utilisation.

Voici donc ma question à nouveau. Pourquoi est-il si courant de désactiver la mise à jour des certificats racines ? Quels sont les effets secondaires potentiels de la réactivation des mises à jour ? Je veux m’assurer que nous pouvons fournir à nos clients les conseils appropriés.

Source : Server Fault,)

2

Fin 2012 / début 2013, il y a eu un problème avec les mises à jour automatiques des certificats racines. La correction provisoire était de désactiver les mises à jour automatiques, donc en partie ce problème est historique.

L’autre cause est le programme de certificats racines de confiance et la distribution des certificats racines, qui (pour paraphraser Microsoft)…

Les certificats racines sont mis à jour automatiquement sur Windows. Lorsqu’un [système] rencontre un nouveau certificat racine, le logiciel de vérification de chaîne de certificats de Windows vérifie l’emplacement Microsoft Update approprié pour le certificat racine.

Jusqu’ici, tout va bien, mais ensuite…

S’il le trouve, il le télécharge sur le système. Pour l’utilisateur, l’expérience est transparente. L’utilisateur ne voit aucune boîte de dialogue de sécurité ni aucun avertissement. Le téléchargement se fait automatiquement, en arrière-plan.

Lorsque cela se produit, il peut sembler que des certificats sont ajoutés comme par magie au magasin racine. Tout cela rend certains administrateurs système nerveux, car vous ne pouvez pas supprimer une « mauvaise » autorité de certification des outils de gestion des certificats puisqu’elle n’y figure pas pour être supprimée…

En réalité, il existe des moyens de faire télécharger la liste complète par Windows afin de pouvoir la modifier comme vous le souhaitez, mais il est courant de simplement bloquer les mises à jour. Un grand nombre d’administrateurs système ne comprennent pas le chiffrement ou la sécurité (de manière générale), ils suivent donc la sagesse reçue (correcte ou non) sans poser de questions et n’aiment pas apporter des modifications à des éléments liés à la sécurité qu’ils ne comprennent pas pleinement, considérant cela comme un art obscur.