1 / 17

Certifika ční autority a certifikační politiky

Certifika ční autority a certifikační politiky. Ondřej Ševeček MCM:Directory | MVP:Security | CEH ondrej @sevecek.com | sevecek.com. O čem bude řeč?. Musím mít offline root CA? a jak dlouhu může platit? Mohu mít více CA? Jakou si mám vybrat edici OS?

eden
Download Presentation

Certifika ční autority a certifikační politiky

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Certifikační autority a certifikační politiky Ondřej Ševeček MCM:Directory| MVP:Security| CEH ondrej@sevecek.com | sevecek.com

  2. O čem bude řeč? • Musím mít offlineroot CA? • a jak dlouhu může platit? • Mohu mít více CA? • Jakou si mám vybrat edici OS? • Jaké existují a jak fungují certifikační politiky? • Jaká jsou rizika spojená s předáním správy?

  3. "Bezpečnost" certifikačních autorit • Pojem bezpečnost sám o sobě je nesmysl • absolutní bezpečnost neexistuje • Bezpečnost je potřeba hodnotit mírou rizika a nákladů na řešení krizových situací

  4. Proč mají veřejné CA offlineroot? • Každý OS věříroot CA • Je velmi drahé "být důvěryhodný" • veřejné prostředí nemá centrální správu • Kořenovou CA nelze zneplatnit • problém slepice vs. vejce • Bylo by velmi drahé "zneplatnit" kořenovou CA • poškození reputace • konec businessu?

  5. Co je špatného na offline CA? • Špatně se to spravuje • Musí pravidelně publikovat CRL • čím méně často, tím to je méně "bezpečné" • čím více často, tím "dražší" bude publikace

  6. Trust management v podnikovém prostředí • Active Directory a Group Policy • 6x kliknout na zařízení důvěry • do 2 hodin vykonáno • 6x kliknout na zneplatnění certifikátu • do 2 hodin vykonáno

  7. Zajímá mě tedy platnost kořenové certifikační autority? • Ne • Až budu chtít, tak si ji zneplatním nebo obnovím (renew)

  8. Rizika napadení řadiče domény • Libovolný řadič domény (DC) • Libovolné domény z celého forestu • Napadení = reinstalace celého forestu

  9. Služby poskytované online AD integrovanou CA • Certifikáty vnitřních TLS serverů • LDAPS, RDP, HTTPS, SMTPS, 802.1x, VPN • Certifikáty uživatelů k přihlašování • Kerberos smartkardlogon (PKINIT) • TLS clientcertificateauthentication

  10. Rizika napadení online AD integrované CA • Reinstalace CA a nahrazení všech certifikátů na všech službách • servery • uživatelé • Reinstalace celého forestuv případě NTAuth certifikační autority

  11. Rizikovost DC vs. CA • Podniková vnitřní CA obvykle nemůže mít větší rizikovost než libovolné DC • Potřebuji tedy offlineroot CA? • jen pokud vydávám do nespravovaného prostředí

  12. Certifikační politiky a příjemci certifikátů • Počítače a služby • buď automaticky podle jména počítače • nebo si o ně žádá jejich správce • možná by to měl někdo potvrdit • Uživatelé • buď automaticky podle loginu v AD • žádají si sami • možná by to měl někdo potvrdit

  13. Separace rolí "potvrzovačů" • CertificateManager • CertificateEnrollment Agent • enroll on behalfof

  14. Je tedy na něco mít root CA? • QualifiedSubordination • nameconstraints • EKU constraints

  15. QualifiedSubordination • CERTREQ -policy -cert RootCaCNin.req policy.inf out.req

  16. Name Constraints [NameConstraintsExtension] Include= NameConstraintsPermitted Exclude= NameConstraintsExcluded Critical= True [NameConstraintsPermitted] DirectoryName= "DC=gopas, DC=virtual" email = "" DNS= .gopas.cz UPN = @gopas.cz URI = ftp://.gopas.virtual IPAddress = 10.10.0.0/255.255.255.0 [NameConstraintsExcluded]

  17. Application policy constraints [ApplicationPolicyStatementExtension] Policies = AppEmailPolicy, AppClAuthPolicy Critical= False [AppEmailPolicy] OID = 1.3.6.1.5.5.7.3.4 ; Secure Email [AppClAuthPolicy] OID = 1.3.6.1.5.5.7.3.2 ; ClientAuthentication [ApplicationPolicyConstraintsExtension] RequireExplicitPolicy= 1 InhibitPolicyMapping = 1

More Related