Gestion des certificats de signature approuvée
Cet article décrit les certificats Signatures de confiance, notamment leurs deux attributs uniques, le processus de gestion du cycle de vie sans contact du service, l’importance des contresignatures horodatées ainsi que la supervision active des menaces de Microsoft et les actions de révocation.
Les certificats utilisés dans le service Signatures de confiance suivent les pratiques standard pour les certificats de signature de code X.509. Pour prendre en charge un écosystème sain, le service inclut une expérience entièrement managée pour les certificats X.509 et les clés asymétriques utilisés pour la signature. L’expérience de Signatures de confiance entièrement gérée fournit toutes les actions du cycle de vie des certificats pour tous les certificats dans une ressource de profil de certificat Signatures de confiance.
Attributs de certificat
Signatures de confiance utilise le type de ressource Profil de certificat pour créer et gérer des certificats x.509 V3 que les clients de Signatures de confiance utilisent pour la signature. Les certificats sont conformes à la norme RFC 5280 et aux ressources pertinentes de Microsoft PKI Services Certificate Policy (CP) et Certification Practice Statements (CPS) qui se trouvent dans le référentiel Microsoft PKI Services.
Outre les fonctionnalités standard, les profils de certificat dans Signatures de confiance ont les deux fonctionnalités uniques suivantes pour aider à atténuer les risques et les impacts associés à une mauvaise utilisation ou à une utilisation abusive de la signature de certificats :
- Certificats de courte durée
- Utilisation améliorée de la clé (EKU) dans la validation d’identité de l’abonné pour l’attribution durable de l’identité
Certificats de courte durée
Pour réduire l’impact de l’utilisation incorrecte ou abusive des signatures, les certificats Signatures de confiance sont renouvelés quotidiennement et sont valides pendant seulement 72 heures. Pour ces certificats avec une durée de vie courte, les actions de révocation peuvent être effectuées au bout d’une seule journée ou au terme d’une période aussi étendue que nécessaire pour couvrir tous les incidents liés à une utilisation incorrecte ou abusive.
Par exemple, s’il est établi qu’un abonné a signé du code qui était un logiciel malveillant ou une application potentiellement indésirable, tel que défini dans Comment Microsoft identifie les logiciels malveillants et les applications potentiellement indésirables, les actions de révocation peuvent être isolées pour révoquer seulement le certificat qui a signé le logiciel malveillant ou l’application potentiellement indésirable. La révocation affecte seulement le code qui a été signé en utilisant ce certificat le jour où il a été émis. La révocation ne s’applique pas au code signé avant ou après cette date.
Utilisation améliorée de la clé dans la validation d’identité de l’abonné
Il est courant que les certificats de signature d’entité finale X.509 soient renouvelés régulièrement afin de garantir une bonne hygiène des clés. En raison du renouvellement quotidien des certificats de Signatures de confiance, l’attribution d’une confiance ou d’une validation à un certificat d’entité finale qui utilise des attributs de certificat (par exemple la clé publique) ou l’empreinte d’un certificat (le hachage du certificat) n’est pas durable. De plus, les valeurs du nom unique du sujet peuvent changer au cours de la durée de vie d’une identité ou d’une organisation.
Pour résoudre ces problèmes, Signatures de confiance fournit une valeur d’identité durable dans chaque certificat associé à la ressource de validation d’identité de l’abonnement. La valeur de l’identité durable est une utilisation améliorée de la clé personnalisée qui a un préfixe 1.3.6.1.4.1.311.97. et est suivie de valeurs d’octets supplémentaires uniques pour la ressource de validation d’identité utilisée sur le profil de certificat. Voici quelques exemples :
Exemple de validation d’identité d’approbation publique
Une valeur
1.3.6.1.4.1.311.97.990309390.766961637.194916062.941502583indique un abonné Signatures de confiance qui utilise la validation d’identité d’approbation publique. Le préfixe1.3.6.1.4.1.311.97.est le type de signature de code d’approbation publique de Signatures de confiance. La valeur990309390.766961637.194916062.941502583est unique pour la validation d’identité de l’abonné pour l’approbation publique.Exemple de validation d’identité d’approbation privée
Une valeur
1.3.6.1.4.1.311.97.1.3.1.29433.35007.34545.16815.37291.11644.53265.56135indique un abonné Signatures de confiance qui utilise la validation d’identité d’approbation privée. Le préfixe1.3.6.1.4.1.311.97.1.3.1.est le type de signature de code d’approbation privée de Signatures de confiance. La valeur29433.35007.34545.16815.37291.11644.53265.56135est unique pour la validation d’identité de l’abonné pour l’approbation privée.Comme vous pouvez utiliser des validations d’identité d’approbation privée pour la signature de stratégie d’intégrité du code WDAC (Windows Defender Application Control), elles ont un préfixe d’utilisation améliorée de la clé différent :
1.3.6.1.4.1.311.97.1.4.1.. Les valeurs de suffixe correspondent cependant à la valeur de l’identité durable pour la validation d’identité de l’abonné pour l’approbation privée.
Remarque
Vous pouvez utiliser des utilisations améliorées de la clé d’identité durable dans les paramètres de la stratégie d’intégrité du code WDAC pour attribuer une confiance à une identité dans Signatures de confiance. Pour plus d’informations sur la création de stratégies WDAC, consultez Utiliser des stratégies signées pour protéger Windows Defender Application Control contre la falsification et Assistant Windows Defender Application Control.
Tous les certificats d’approbation publique de signature approuvée contiennent également la référence EKU 1.3.6.1.4.1.311.97.1.0 pour être facilement identifiés comme un certificat approuvé publiquement à partir de la signature approuvée. Toutes les utilisations améliorées de la clé sont fournies en plus de l’utilisation améliorée de la clé de signature de code (1.3.6.1.5.5.7.3.3) afin d’identifier le type d’utilisation spécifique pour les consommateurs de certificats. La seule exception concerne les certificats qui ont le type de profil de certificat de stratégie d’intégrité du code de confiance privée Signatures de confiance, dans lequel aucune utilisation améliorée de la clé de signature du code n’est présente.
Gestion du cycle de vie des certificats sans contact
L’objectif de Signatures de confiance est de simplifier autant que possible la signature pour chaque abonné. Une partie majeure de la simplification de la signature consiste à fournir une solution de gestion du cycle de vie des certificats entièrement automatisée. La fonctionnalité de gestion du cycle de vie des certificats de Signatures de confiance gère automatiquement pour vous toutes les actions standard relatives aux certificats.
Il inclut :
- Génération, stockage et utilisation sécurisée des clés dans les modules de chiffrement matériels FIPS 140-2 de niveau 3 gérés par le service.
- Renouvellement quotidien des certificats pour garantir que vous disposez toujours d’un certificat valide à utiliser pour signer les ressources de votre profil de certificat.
Chaque certificat que vous créez et que vous émettez est journalisé dans le portail Azure. Vous pouvez voir les flux de données de journalisation qui incluent le numéro de série, l’empreinte numérique, la date de création, la date d’expiration et l’état du certificat (par exemple Actif, Expiré ou Révoqué) dans le portail.
Remarque
Signatures de confiance ne prend pas en charge l’importation ou l’exportation de clés privées et de certificats. Tous les certificats et clés utilisés dans Signatures de confiance sont gérés dans des modules de chiffrement matériels exploités au niveau 3 de FIPS 140-2.
Compteurs d’horodatages
La pratique standard de signature consiste à contresigner toutes les signatures avec un horodatage conforme à RFC 3161. Comme Signatures de confiance utilise des certificats de courte durée de vie, la contresignature de l’horodatage est essentielle pour que la signature soit valide au-delà de la durée de vie du certificat de signature. Une contresignature d’horodatage fournit un jeton d’horodatage sécurisé par chiffrement provenant d’une autorité d’horodatage (TSA, Time Stamping Authority) qui répond aux CSBR (Code Signing Baseline Requirements).
Une contresignature fournit une date et une heure fiables indiquant le moment de la signature. Si la contresignature d’horodatage est dans la période de validité du certificat de signature et dans la période de validité du certificat d’autorité d’horodatage, la signature est valide. Elle est valide bien après l’expiration du certificat de signature et du certificat d’autorité d’horodatage (à moins que l’un ou l’autre ne soit révoqué).
Signatures de confiance fournit un point de terminaison d’autorité d’horodatage généralement disponible à l’adresse http://timestamp.acs.microsoft.com. Nous recommandons à tous les abonnés Signatures de confiance d’utiliser ce point de terminaison d’autorité d’horodatage pour contresigner les signatures qu’ils produisent.
Surveillance active
La signature approuvée prend passionnément en charge un écosystème sain à l’aide de la surveillance active des renseignements sur les menaces pour rechercher constamment des cas d’utilisation abusive et d’abus des certificats d’approbation publique des abonnés de signature approuvée.
Pour un cas confirmé de mauvaise utilisation ou d’abus, Signatures de confiance prend immédiatement les mesures nécessaires pour atténuer et remédier à toute menace, y compris la révocation ciblée ou étendue du certificat, et la suspension du compte.
Vous pouvez effectuer les actions de révocation directement dans le portail Azure pour les certificats qui sont enregistrés sous un profil de certificat dont vous êtes propriétaire.