Magic Number – Uwe Gradenegger

Domänencontroller (oder andere Teilnehmer) zwingen, einen Onlineresponder (OCSP) zu verwenden

In der Standardeinstellung werden Windows-Systeme, auch wenn ein Onlineresponder (OCSP) konfiguriert ist, nach einer bestimmten Anzahl von OCSP-Anfragen auf eine (falls vorhanden) Sperrliste zurückfallen, weil dies in einem solchen Fall meistens effizienter ist. Nicht immer ist dieses Verhalten aber gewünscht.

Setzt man beispielsweise Smartcard-Anmeldungen ein, möchte man vielleicht wissen, ob Anmeldungen mit unberechtigt ausgestellten Zertifikaten ausgeführt wurden. In Verbindung mit dem deterministischen Good des Onlineresponders kann man so einen (beinahe) lückenlosen Auditierungspfad für alle Smartcard-Anmeldungen schaffen.

Die "Magic Number" für den Onlineresponder konfigurieren

Auch wenn ein Onlineresponder im Netzwerk vorhanden ist, und die Zertifizierungsstellen dessen Adresse in die Authority Information Access (AIA) Erweiterung der ausgestellten Zertifikate eingetragen hat, ist nicht immer garantiert, dass der Onlineresponder tatsächlich verwendet wird.

Eine Stellgröße hierbei ist die "Magic Number", welche auf jedem Windows Betriebssystem vorhanden ist. Sie bewirkt, dass das System auf (falls vorhanden) Sperrlisten zurückfällt, wenn für die gleiche Zertifizierungsstelle zu oft Anfragen per OCSP erfolgen.

Deterministisches "Good" für den Onlineresponder (OCSP) konfigurieren

In der Standard-Konfiguration liefert der Onlineresponder für angefragte Zertifikate, die nicht auf einer der konfigurierten Sperrlisten auftauchen, den Status "Good" zurück.

Dies kann problematisch sein, da der Onlineresponder keine Kenntnis über von den Zertifizierungsstellen ausgestellte Zertifikate besitzt. Gelingt es einem Angreifer, mittels des privaten Schlüssels der Zertifizierungsstelle ein Zertifikat ohne deren Kenntnis auszustellen, würde dies nicht vom Onlineresponder erkannt werden, und würde auch im Auditprotokoll als "Good" auftauchen.