Administración de certificados de firma de confianza
En este artículo se describen los certificados de firma de confianza, incluidos sus dos atributos únicos, el proceso de administración del ciclo de vida sin intervención del servicio, la importancia de las contrafirmas de marca de tiempo y las acciones de supervisión y revocación de amenazas activas de Microsoft.
Los certificados que se usan en el servicio firma de confianza siguen los procedimientos estándar para los certificados de firma de código X.509. Para admitir un ecosistema correcto, el servicio incluye una experiencia totalmente administrada para certificados X.509 y claves asimétricas para la firma. La experiencia de firma de confianza totalmente administrada proporciona todas las acciones de ciclo de vida de certificados para todos los certificados de un recurso de perfil de certificado de firma de confianza.
Atributos de certificado
Firma de confianza usa el tipo de recurso de perfil de certificado para crear y administrar certificados X.509 v3 que usan los clientes de firma de confianza para firmar. Los certificados se ajustan al estándar RFC 5280 y a los recursos pertinentes de la Directiva de certificados de servicios PKI de Microsoft (CP) y declaraciones de prácticas de certificación (CPS) que se encuentran en el Repositorio de servicios PKI de Microsoft.
Además de las características estándar, los perfiles de certificado de firma de confianza incluyen las dos características únicas siguientes para ayudar a mitigar los riesgos e impactos asociados con el uso indebido o el abuso de la firma de certificados:
- Certificados de corta duración
- Uso extendido de clave (EKU) de validación de identidad del suscriptor para anclaje de identidades duraderas
Certificados de corta duración
Para ayudar a reducir el impacto del uso indebido y el abuso de firma, los certificados de firma de confianza se renuevan diariamente y son válidos solo durante 72 horas. En estos certificados de corta duración, las acciones de revocación pueden ser tan agudas como un solo día o tan amplia como sea necesario para cubrir cualquier incidente de uso indebido y abuso.
Por ejemplo, si se determina que un código firmado por el suscriptor que era malware o una aplicación potencialmente no deseada (PUA), tal como se define en Cómo Identifica Microsoft el malware y las aplicaciones potencialmente no deseadas, las acciones de revocación se pueden aislar para revocar solo el certificado que firmó el malware o PUA. La revocación afecta solo al código firmado mediante ese certificado el día en que se emitió. La revocación no se aplica a ningún código firmado antes de ese día o después de ese día.
EKU de validación de identidad del suscriptor
Es habitual que los certificados de firma de entidad final X.509 se renueven en una escala de tiempo normal para garantizar la higiene de las claves. Debido a la renovación diaria de certificados de firma de confianza, anclar confianza o validación a un certificado de entidad final que usa atributos de certificado (por ejemplo, la clave pública) o la huella digital de un certificado (el hash del certificado) no es duradero. Además, los valores de Nombre distintivo del firmante (DN del firmante) pueden cambiar durante la vigencia de una identidad u organización.
Para solucionar estos problemas, la firma de confianza proporciona un valor de identidad duradero en cada certificado asociado al recurso de validación de identidades de la suscripción. El valor de identidad duradera es una EKU personalizada que tiene el prefijo 1.3.6.1.4.1.311.97.
y va seguida de más valores de octeto que son únicos para el recurso de validación de identidad que se usa en el perfil de certificado. Estos son algunos ejemplos:
Ejemplo de validación de identidades de confianza pública
Un valor de
1.3.6.1.4.1.311.97.990309390.766961637.194916062.941502583
indica un suscriptor de firma de confianza que usa la validación de identidades de confianza. El prefijo1.3.6.1.4.1.311.97.
es el tipo de firma de código de confianza. El valor de990309390.766961637.194916062.941502583
es único para la validación de identidades del suscriptor para la confianza pública.Ejemplo de validación de identidad de confianza privada
Un valor de
1.3.6.1.4.1.311.97.1.3.1.29433.35007.34545.16815.37291.11644.53265.56135
indica un suscriptor de firma de confianza que usa la validación de identidad de confianza privada. El prefijo1.3.6.1.4.1.311.97.1.3.1.
es el tipo de firma de código de confianza. El valor de29433.35007.34545.16815.37291.11644.53265.56135
es único para la validación de identidades del suscriptor para la confianza privada.Dado que puede usar validaciones de identidad de confianza privada para la firma de directivas de integridad de código (CI) de Control de aplicaciones (WDAC) de Windows Defender, tienen un prefijo de EKU diferente:
1.3.6.1.4.1.311.97.1.4.1.
. Pero los valores de sufijo coinciden con el valor de identidad durable para la validación de identidad del suscriptor para la confianza privada.
Nota:
Puede usar EKU de identidad duradera en la configuración de la directiva de CI de WDAC para anclar la confianza a una identidad en firma de confianza. Para obtener información sobre cómo crear directivas WDAC, vea Usar directivas firmadas para proteger el control de aplicaciones de Windows Defender contra alteraciones y Asistente para control de aplicaciones de Windows Defender.
Todos los certificados de confianza pública de firma de confianza también contienen el 1.3.6.1.4.1.311.97.1.0
EKU para que se identifiquen fácilmente como certificados de confianza pública de firma de confianza. Todas las EKU se proporcionan además de la EKU de firma de código (1.3.6.1.5.5.7.3.3
) para identificar el tipo de uso específico para los consumidores de certificados. La única excepción es los certificados que son el tipo de perfil de certificado de directiva de CI de confianza de firma privada, en el que no hay EKU de firma de código.
Administración del ciclo de vida de certificados sin contacto
La firma de confianza tiene como objetivo simplificar la firma tanto como sea posible para cada suscriptor. Una parte importante de la simplificación de la firma es proporcionar una solución de administración del ciclo de vida de certificados totalmente automatizada. La característica de administración del ciclo de vida del certificado sin intervención de firma de confianza controla automáticamente todas las acciones de certificado estándar.
Incluye:
- Generación, almacenamiento y uso seguro de claves en módulos criptográficos de hardware FIPS 140-2 de nivel 3 que administra el servicio.
- Renovaciones diarias de certificados para asegurarse de que siempre tiene un certificado válido que se usará para firmar los recursos del perfil de certificado.
Todos los certificados que cree y emita se registran en Azure Portal. Puede ver las fuentes de distribución de datos de registro que incluyen el número de serie del certificado, la huella digital, la fecha de creación, la fecha de expiración y el estado (por ejemplo, Active, Expirado, o Revocada) en el portal.
Nota:
La firma de confianza no admite la importación o exportación de claves y certificados privados. Todos los certificados y claves que se usan en la firma de confianza se administran dentro de los módulos criptográficos de hardware operados por FIPS 140-2 nivel 3.
Contrafirma de marca de tiempo
La práctica estándar de firma consiste en contrafirmar todas las firmas con una marca de tiempo compatible con RFC 3161. Dado que la firma de confianza usa certificados de corta duración, la contrasignación de marca de tiempo es fundamental para que una firma sea válida más allá de la vida del certificado de firma. Una contrafirma de marca de tiempo proporciona un token de marca de tiempo criptográficamente seguro de una entidad de marca de tiempo (TSA) que cumple los estándares de los requisitos de línea de base de firma de código (CSBR).
Una contrafirma proporciona una fecha y hora confiables de cuándo se produjo la firma. Si la contrafirma de marca de tiempo está dentro del período de validez del certificado de firma y el período de validez del certificado de TSA, la firma es válida. Es válido mucho después de que expire el certificado de firma y el certificado de TSA (a menos que se revoque cualquiera de los dos).
La firma de confianza proporciona un punto de conexión de TSA disponible con carácter general en http://timestamp.acs.microsoft.com
. Se recomienda que todos los suscriptores de firma de confianza usen este punto de conexión de TSA para contrafirmar las firmas que producen.
Supervisión activa
La firma de confianza admite con pasión un ecosistema correcto mediante la supervisión de inteligencia sobre amenazas activa para buscar constantemente casos de uso indebido y abuso de certificados de confianza pública de los suscriptores de la firma.
Para un caso confirmado de uso indebido o abuso, la firma de confianza toma inmediatamente los pasos necesarios para mitigar y corregir cualquier amenaza, incluida la revocación de certificados dirigida o amplia y la suspensión de la cuenta.
Puede completar acciones de revocación directamente en Azure Portal para todos los certificados que se registran en un perfil de certificado que posee.