ROTFLMAO – tak można podsumować wtopę, jaką zaliczył eMeS w ten weekend. a w zasadzie od piątq. cała chmura Azure wyparowała. dosłownie *cała*. od usług komercyjnych, darmowych, xbox… a wszystko przez… nieodświeżony certyfikat!

o tym, że PKI jest sztuką zanikającą i dla większości wdrożeń nazwa “PKI” jest mocno na wyrost, pisałem całkiem niedawno. ale to co się wydarzyło ciężko nawet komentować, więc zamiast się nabijać kilka wniosqw dla nas wszystkich:

  • CERTYFIKATY SĄ WAŻNE. jak widać – jeden zły cert i cała wielka machina może zdechnąć.
  • to, że nie dzieje się tak w innych firmach wynika z faktu, że każdy zna trywialim “bezpieczeństwo jest bardzo ważne/najważniejsze” ale środowisko konfiguruje się przeciwnie. ponieważ niewiele osób certyfikaty rozumie, aby sobie nie utrudniać życia, wszystko konfiguruje się tak, żeby “niewadziły”. czyli używa się self-signów, wyłącza się weryfikację CRL, pozwala się na połączenia pomimo braku poprawnej walidacji itd. czyli jakiś cert jest, jakieś szyfrowanie jest i wszyscy skaczą szczęśliwi że mają PKI i super bezpieczeństwo.
  • w Windows od zawsze brakowało automatu, przypominającego o wygasającym certyfikacie. taka funkcjonalność została dodana – AFAIR w Vista, jednak trzeba się lokalnie zalogować na serwer/stację, aby komunikat zobaczyć. tam, gdzie PKI jest istotne – jak np. główny cert firmy czy jakiejś aplikacji Web – admin powinien od razu wrzucić jakieś przypomnienie do kalendarza…

zamiast ustawiać przypomnienia na konkretne daty, co jest mało elastyczne z 1ooo powodów, warto byłoby zrobić coś bardziej uniwersalnego. na szybko – skrypt, który sprawdza wszystkie certy w computerMY i jeśli data jest powżej 6o% czasu życia, wysyła maila z informacją. skrypt można by wrzucić do do schedulera na serwerach. trzeba będzie nad tym pomyśleć…

eN.

Spread the love

Comments (7)

  1. Odpowiedz

    Takie skrypty sa gotowe na sieci jak poszukasz … widze tez ze trzeba opisac to co zrobilismy z zarzadzaniem certyfikatami i ich cyklem zycia w ramach rozwiazania na FIMie :).

  2. jnx

    Odpowiedz

    sam chciałem o tym napisać w sobotę i już nawet napisałem ale skasowałem bo pomyślałem, że flame nie będę robił – już i tak techinternet przez weekend na przemian nabijał się i przeklinał MS za tą amatorszczyznę jaką odstawili

  3. Odpowiedz

    niewątpliwie wtopa i usprawiedliwienia nie ma. jednak takie rzeczy – na mniejszą skalę, ze względu na wielkość firmy – są dość częste. nie raz i nie dwa zdarzyło mi się wejść na jakaś stronę, sklep, alplikację i dostać info o nieważnym certyfikacie… smutek ):

  4. Odpowiedz

    @gibon: FIM jest jeszcze bardziej noszowy q: bardzo fajnie będzie poczytać, ale mało uniwersalne rozwiązanie.

  5. gt

    Odpowiedz

    Może nie jest to case MS, ale znam takie przypadki, w których administrator celowo pozwalał na wygaśnięcie certów, żeby coś przepchnąć/udowodnić/itp.
    Jakiśtam czas temu, pracując w firmie na I proponowałem zrobienie takiego rozwiązania, żeby proaktywnie nękać klientów u których certyfikaty wygasną w najbliższym czasie. Ale entuzjazm był mizerny. Już wygaśnięty certyfikat to niezły nóź na gardle i szansa na skasowanie na większą kwotę… :P

  6. ziemek borowski

    Odpowiedz

Zostaw komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Time limit is exhausted. Please reload CAPTCHA.