Gestione dei certificati di firma attendibile
Questo articolo descrive i certificati di firma attendibile, inclusi i due attributi univoci, il processo di gestione del ciclo di vita zero-touch del servizio, l'importanza delle controfirme timestamp e le azioni di monitoraggio e revoca delle minacce attive di Microsoft.
I certificati usati nel servizio firma attendibile seguono le procedure standard per i certificati di firma del codice X.509. Per supportare un ecosistema integro, il servizio include un'esperienza completamente gestita per i certificati X.509 e le chiavi asimmetriche per la firma. L'esperienza di firma attendibile completamente gestita offre tutte le azioni del ciclo di vita dei certificati per tutti i certificati in una risorsa profilo certificato di firma attendibile.
Attributi del certificato
La firma attendibile usa il tipo di risorsa profilo certificato per creare e gestire certificati X.509 v3 usati dai clienti per la firma attendibile. I certificati sono conformi allo standard RFC 5280 e alle risorse CPS (Microsoft PKI Services Certificate Policy) e Certification Practice Statements (CPS) pertinenti presenti nel repository dei servizi PKI Microsoft.
Oltre alle funzionalità standard, i profili certificato nella firma attendibile includono le due funzionalità uniche seguenti per ridurre i rischi e gli impatti associati all'uso improprio o all'abuso della firma dei certificati:
- Certificati di breve durata
- Convalida dell'identità sottoscrittore Utilizzo chiavi estese (EKU) per l'aggiunta di identità durevoli
Certificati di breve durata
Per ridurre l'impatto dell'uso improprio e dell'abuso della firma, i certificati di firma attendibile vengono rinnovati ogni giorno e sono validi solo per 72 ore. In questi certificati di breve durata, le azioni di revoca possono essere acute come un singolo giorno o il più ampio necessario per coprire eventuali incidenti di uso improprio e abuso.
Ad esempio, se è determinato che un codice sottoscrittore firmato che era malware o un'applicazione potenzialmente indesiderata (PUA) come definito in Come Microsoft identifica malware e applicazioni potenzialmente indesiderate, le azioni di revoca possono essere isolate per revocare solo il certificato che ha firmato il malware o puA. La revoca influisce solo sul codice firmato utilizzando tale certificato nel giorno in cui è stato emesso. La revoca non si applica ad alcun codice firmato prima di quel giorno o dopo quel giorno.
Convalida dell'identità del Sottoscrittore EKU
È comune che i certificati di firma dell'entità finale X.509 vengano rinnovati in una sequenza temporale regolare per garantire l'igiene delle chiavi. A causa del rinnovo giornaliero del certificato di firma attendibile, l'aggiunta dell'attendibilità o la convalida a un certificato di entità finale che usa attributi di certificato (ad esempio, la chiave pubblica) o l'identificazione personale di un certificato (l'hash del certificato) non è durevole. Inoltre, i valori DN (Subject Distinguished Name) possono cambiare nel corso della durata di un'identità o di un'organizzazione.
Per risolvere questi problemi, la firma attendibile fornisce un valore di identità durevole in ogni certificato associato alla risorsa di convalida dell'identità della sottoscrizione. Il valore dell'identità durevole è un EKU personalizzato che ha il prefisso 1.3.6.1.4.1.311.97. ed è seguito da più valori ottetto univoci per la risorsa di convalida dell'identità usata nel profilo certificato. Di seguito sono riportati alcuni esempi.
Esempio di convalida dell'identità trust pubblica
Il valore indica
1.3.6.1.4.1.311.97.990309390.766961637.194916062.941502583un sottoscrittore di firma attendibile che usa la convalida dell'identità di attendibilità pubblica. Il1.3.6.1.4.1.311.97.prefisso è il tipo di firma del codice trust pubblico di firma attendibile. Il990309390.766961637.194916062.941502583valore è univoco per la convalida dell'identità del sottoscrittore per l'attendibilità pubblica.Esempio di convalida dell'identità di trust privato
Il valore indica
1.3.6.1.4.1.311.97.1.3.1.29433.35007.34545.16815.37291.11644.53265.56135un sottoscrittore di firma attendibile che usa la convalida dell'identità trust privata. Il1.3.6.1.4.1.311.97.1.3.1.prefisso è il tipo di firma del codice trust privato di firma attendibile. Il29433.35007.34545.16815.37291.11644.53265.56135valore è univoco per la convalida dell'identità del sottoscrittore per l'attendibilità privata.Poiché è possibile usare le convalide di identità attendibilità privata per la firma dei criteri di integrità del codice (CI) di Windows Defender Application Control (CI), hanno un prefisso EKU diverso:
1.3.6.1.4.1.311.97.1.4.1.. Ma i valori del suffisso corrispondono al valore di durable identity per la convalida dell'identità del sottoscrittore per trust privato.
Nota
È possibile usare le EKU di identità durevoli nelle impostazioni dei criteri CI WDAC per aggiungere l'attendibilità a un'identità nella firma attendibile. Per informazioni sulla creazione di criteri WDAC, vedere Usare i criteri firmati per proteggere Windows Defender Application Control da manomissioni e Windows Defender Application Control Wizard.
Tutti i certificati di attendibilità pubblica di firma attendibile contengono anche l'EKU 1.3.6.1.4.1.311.97.1.0 da identificare facilmente come certificato attendibile pubblicamente dalla firma attendibile. Tutte le EKU vengono fornite oltre alla firma del codice EKU (1.3.6.1.5.5.7.3.3) per identificare il tipo di utilizzo specifico per i consumer di certificati. L'unica eccezione è costituita dai certificati che sono il tipo di profilo certificato certificato ci dei criteri di attendibilità privata di firma attendibile, in cui non è presente alcuna firma del codice EKU.
Gestione del ciclo di vita dei certificati zero-touch
La firma attendibile mira a semplificare la firma il più possibile per ogni sottoscrittore. Una parte importante della semplificazione della firma consiste nel fornire una soluzione di gestione del ciclo di vita dei certificati completamente automatizzata. La funzionalità di gestione del ciclo di vita dei certificati zero-touch per la firma attendibile gestisce automaticamente tutte le azioni standard del certificato.
Comprende:
- Proteggere la generazione di chiavi, l'archiviazione e l'utilizzo nei moduli di crittografia hardware FIPS 140-2 livello 3 gestiti dal servizio.
- Rinnovi giornalieri dei certificati per assicurarsi di avere sempre un certificato valido da usare per firmare le risorse del profilo certificato.
Ogni certificato creato e rilascia viene registrato nel portale di Azure. È possibile visualizzare i feed di dati di registrazione che includono il numero di serie del certificato, l'identificazione personale, la data di creazione, la data di scadenza e lo stato (ad esempio, Attivo, Scaduto o Revocato) nel portale.
Nota
La firma attendibile non supporta l'importazione o l'esportazione di chiavi e certificati privati. Tutti i certificati e le chiavi usati in Firma attendibile vengono gestiti all'interno dei moduli di crittografia hardware gestiti FIPS 140-2 Livello 3.
Controfirma timestamp
La procedura standard per la firma consiste nel controfirmare tutte le firme con un timestamp conforme a RFC 3161. Poiché la firma attendibile usa certificati di breve durata, la controfirma del timestamp è fondamentale affinché una firma sia valida oltre la durata del certificato di firma. Una controfirma timestamp fornisce un token timestamp crittograficamente sicuro da un'autorità di timestamp (TSA) che soddisfa gli standard dei requisiti della baseline di firma del codice (CSBR).
Una controfirma fornisce una data e un'ora affidabili di quando si è verificata la firma. Se la controfirma timestamp rientra nel periodo di validità del certificato di firma e nel periodo di validità del certificato TSA, la firma è valida. È valido molto dopo la scadenza del certificato di firma e del certificato TSA (a meno che non vengano revocati).
La firma attendibile fornisce un endpoint TSA disponibile a livello generale in http://timestamp.acs.microsoft.com. È consigliabile che tutti i sottoscrittori di firma attendibile usino questo endpoint TSA per controfirmare le firme prodotte.
Monitoraggio attivo
La firma attendibile supporta un ecosistema integro usando il monitoraggio attivo dell'intelligence per le minacce per cercare costantemente casi di uso improprio e abuso dei certificati di attendibilità pubblica dei sottoscrittori di firma attendibile.
Per un caso confermato di uso improprio o improprio, la firma attendibile esegue immediatamente i passaggi necessari per attenuare e correggere eventuali minacce, tra cui la revoca o l'ampia revoca dei certificati e la sospensione dell'account.
È possibile completare le azioni di revoca direttamente nel portale di Azure per tutti i certificati registrati in un profilo certificato di cui si è proprietari.