web-dev-qa-db-ja.com

オフラインルートCAは廃止されましたか?

オフラインのルート認証局(CA)の使用を推奨する「ハウツー」記事やベストプラクティスは無数にあります。タイトルが示すように、この推奨事項は廃止されましたか?

私の質問のコンテキストは、中小企業向けです。下位CAの複数の層を持つ大企業(またはその他)ではありません。

以前の投稿で説明したように、ルートCA証明書を取り消すのは難しいプロセスです。次の方法でのみ実現できます。

  1. ソフトウェアの更新
  2. スクリプト
  3. 構成管理システム
  4. このために

オフラインのルートCA(比喩的に言えば)の前提は、下位のCAを承認するためにのみオンラインにされるラップトップにそれを置くことです。それ以外の場合は、可能な限り最高の物理的セキュリティが確保されます。下位のCAが侵害された場合でも、オフラインのルートCAで問題がないため、すべてが失われるわけではありません。ただし、大多数にはCRL配布ポイント(CDP)が含まれていないため、取り消された証明書を特定することは不可能です。したがって、直接の下位CAの失効をルートCAの失効と同様にします。そもそもオフラインのルートCAを用意しても何も得られませんでした。

もう1つの方法は、CDPを発行することです。これは、最も理にかなっているように見えますが、ルートCAをオフラインにすることはできません。 CDPが月に1回更新される場合、最悪のシナリオは、クライアントが失効した証明書を1か月間識別できないことです。一方、これを管理するには、スタッフがシステムを起動してCDPを毎月更新する必要があります。このウィンドウを長くする(+1か月)と、クライアントが取り消された証明書を信頼するより大きなウィンドウが作成されますが、このウィンドウを短くすると、管理オーバーヘッドのためにシステムがオンラインのままであることが明確になります。

これに基づいて、オフラインルートCAは、下位CAの複数の層を持つ非常に大規模な企業でのみ使用する必要があるようです。ただし、これらはすでに証明書インフラストラクチャを備えていることが多く、オフラインのルートCAが使用される場合は例外と見なす必要があります。新しいロールアウトの大多数は、ルートCAをオンラインにしておく必要がある小規模から中規模のネットワークにあり、CDPに頻繁に公開できます。したがって、質問に戻ると、オフラインのルートCAは廃止されていますか?

certificatespublic-key-infrastructurecertificate-authoritycertificate-revocation
7
user2320464

ここで「オフライン」という言葉の定義を考慮する必要があると思います。

あなたが示唆するように、以下は相反する要件です:

  • 下位CA証明書を発行または取り消す場合を除き、ルートCAの電源をオフにします。
  • ルートCAに頻繁にCRLを発行してもらいます。

私が最も頻繁に展開するソリューションは、ファイアウォールを介して「ソフトエアギャップ」または「ソフトオフライン」を実行することです。これにより、ルートCAは、CDPまたはOSCPレスポンダによってピックアップされ、再発行されるように、毎日または毎時間新しいCRLをプッシュできます。 。ルートCAマシンとの間のその他すべてのトラフィックをブロックします。

ルートCAがハードウェアレベルで一方向のポートであるオーディオラインアウトジャックを介してCRLデータをプッシュする1つの巧妙なソリューションさえ聞いたことがあります。

3
Mike Ounsworth

もう1つ、オフラインのルートCAがその証明書失効リスト(CRL)をオンラインの別の場所に公開できない理由はありません。次のコマンドを使用して、CRLの寿命を非常に長い期間に延長できます。

certutil -setreg CA\CRLPeriodUnits 6
certutil -setreg CA\CRLPeriod "Years"

最後の完全なCRLが発行されてから変更された失効のみを含むDelta CRLを発行することもできます。

オフラインルートCAから証明書を取り消すのは、CRLの有効期間が非常に長くなるリスクがある場合にのみ発生するため、オフラインホストから証明書を取り消すことは決してないでしょう。 CRLチェックでこれを取得したい場合は、その部分を引き続き使用できるため、必要に応じて機能します。

オフラインCAは議論の対象となることが多いですが、オフラインCAに大きな妥協があった場合は、それを手に入れてもらえれば嬉しいです。持っていなくても必要な場合は後悔します。それはリスク対報酬の問題です。

2
KevJB

ルートCAは、ネットワークに接続するという意味では決してオンラインになりません。フロッピードライブ、USBドライブ、オーディオ出力ジャックなどを使用します。MicrosoftにはALL OVERのドキュメントがあり、簡単に見つけることができます。これは、最低限のProduction構造をオフラインルートとオンラインエンタープライズ下位発行者の2層として説明しています。オンライン発行者は、オフラインルートで生成され、上記の方法で転送されるオンライン発行者のCRLを除き、すべての証明書とCRLが発行される場所です。そのCRLを年に1回(またはセキュリティ要件に最適に機能するものを選択して)生成し、そのCRLをパブリックCDP(証明書配布ポイント)に転送します。そうしないと、オフラインのルートがいつでも消えてしまう可能性があります。

1
Jay Maddox