Étiquette : RFC 2818

Comment la sécurisation des imprimantes peut devenir un désastre en matière de sécurité - et comment le module de politique TameMyCerts pour Active Directory Certificate Services (ADCS) peut empêcher cela

De nos jours, il est indispensable de protéger l'authentification des appareils sur le réseau de l'entreprise ainsi que les interfaces administratives. En règle générale, les certificats numériques sont utilisés à cet effet.

En règle générale, les imprimantes ont donc elles aussi besoin de certificats numériques pour pouvoir être exploitées en toute sécurité. A partir d'un certain nombre d'appareils, on ne peut plus éviter une distribution automatique des certificats.

Certains fabricants d'imprimantes proposent des solutions de gestion centralisée pour la distribution des certificats.

Malheureusement, on constate régulièrement que l'utilisation sûre des certificats numériques exige beaucoup de connaissances, d'expérience et de soin, ce qui n'est malheureusement souvent pas le cas.

Continuer la lecture de « Wie das Absichern von Druckern zum Security-Desaster werden kann – und wie das TameMyCerts Policy Modul für Active Directory Certificate Services (ADCS) dieses verhindern kann »

Comment le module de politique TameMyCerts pour Active Directory Certificate Services (ADCS) peut détecter et prévenir les attaques contre les vecteurs d'attaque ESC6 et ESC7

Dans l'intention prétendument bonne de rendre ainsi possible la délivrance de telles exigences de certificat avec un SAN, deviner malheureusement beaucoup sur beaucoup de Instructions  de l'autorité de certification, le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2 activer.

Si l'on active ce drapeau, une très grande surface d'attaque est offerte, car tout demandeur peut désormais ordonner à l'autorité de certification d'émettre des certificats avec n'importe quel contenu. Ce type d'attaque est connu dans le milieu de la sécurité sous le nom de ESC6 et ESC7 connu.

Continuer la lecture de « Wie das TameMyCerts Policy Modul für Active Directory Certificate Services (ADCS) Angriffe gegen die ESC6 und ESC7 Angriffsvektoren erkennen und verhindern kann »

Comment le module TameMyCerts Policy pour Active Directory Certificate Services (ADCS) peut réparer les demandes de certificats entrantes afin de les rendre conformes aux RFC

En commençant par la version 58, Google a décidé supprimer la prise en charge du Subject Distinguished Name des certificats de serveur web dans le navigateur Chrome et de n'accepter à la place que des certificats avec Subject Alternative Name.

Depuis ce moment, les certificats de serveur web sans Subject Alternative Name sont présentés sous la forme d'un dNSName de Google Chrome et d'autres Chromium(c'est-à-dire également les navigateurs Microsoft Edge) a été rejetée. D'autres fabricants de navigateurs ont rapidement adopté cette approche, de sorte que ce problème concerne désormais tous les navigateurs courants.

Continuer la lecture de « Wie das TameMyCerts Policy Modul für Active Directory Certificate Services (ADCS) eingehende Zertifikatanträge reparieren kann, um sie RFC-konform zu machen »

Ajouter automatiquement des noms DNS dans le Subject Alternate Name (SAN) des certificats émis - avec le module TameMyCerts Policy pour Microsoft Active Directory Certificate Services (ADCS)

Google est très actif avec le projet Chromium et les produits basés sur ce dernier, tels que Google Chrome et Microsoft Edge ont commencé à appliquer la loi sur la protection des données adoptée en 2000. RFC 2818 et de ne plus faire confiance aux certificats qui ne remplissent plus cette condition.

Pour nous, la phrase suivante est d'une grande acuité :

Si une extension subjectAltName de type dNSName est présente, elle DOIT être utilisée comme identité. Sinon, le champ Nom commun (le plus spécifique) dans le champ Sujet du certificat DOIT être utilisé. Bien que l'utilisation du nom commun soit une pratique existante, elle est dépréciée et les autorités de certification sont encouragées à utiliser le dNSName à la place.

https://tools.ietf.org/html/rfc2818
Continuer la lecture de « DNS-Namen automatisch in den Subject Alternate Name (SAN) ausgestellter Zertifikate eintragen – mit dem TameMyCerts Policy Modul für Microsoft Active Directory Certificate Services (ADCS) »

Sur l'option "Build this from Active Directory information" pour les modèles de certificats

Lors de la configuration d'un modèle de certificat, il faut décider du contenu prévu du certificat, c'est-à-dire, entre autres, quelles identités seront confirmées par les certificats et comment ceux-ci seront représentés.

L'onglet "Subject Name" de la boîte de dialogue de configuration des modèles de certificats permet de configurer la manière dont l'identité confirmée par le certificat est représentée.

Continuer la lecture de « Zur Option „Build this from Active Directory information“ bei Zertifikatvorlagen »

Principes de base : contraintes de nom (Name Constraints)

Les restrictions de noms font partie de la norme X.509 et sont définies dans le RFC 5280 ont été décrits. Ils constituent un outil qui peut être utilisé dans le cadre subordination qualifiée peut être utilisé pour contrôler finement la portée d'un certificat d'autorité de certification.

Continuer la lecture de « Grundlagen: Namenseinschränkungen (Name Constraints) »

Demande manuelle d'un certificat de serveur web

Dans certains cas, il n'est pas possible ou souhaitable d'obtenir des certificats de serveur web directement auprès d'une autorité de certification de sa propre structure globale Active Directory via la Microsoft Management Console, par exemple lorsque le système concerné n'est pas membre du domaine.

Dans ce cas, il n'est pas possible d'utiliser des modèles de certificats et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).

Continuer la lecture de « Manuelle Beantragung eines Webserver-Zertifikats »

Google Chrome et Microsoft Edge ne vérifient pas l'état de révocation des certificats

De plus en plus d'entreprises utilisent comme navigateur par défaut sur la plateforme Windows le navigateur Google Chrome ou le nouveau Microsoft Edge basé sur Chromium (nom de code Anaheim).

Lors de la distribution de l'un de ces deux navigateurs, il convient de tenir compte du fait qu'ils se comportent en partie différemment des autres navigateurs en ce qui concerne les certificats.

Outre le fait que Chromium, contrairement à Internet Explorer et au précédent Edge (nom de code Spartan) qui impose le RFC 2818, il se comporte aussi en Vérification des informations de blocage différent.

Continuer la lecture de « Google Chrome und Microsoft Edge prüfen Sperrstatus von Zertifikaten nicht »

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)“

Scénario suivant

  • Es wird eine Zertifikatanforderung an eine Zertifizierungsstelle gesendet.
  • La demande de certificat échoue avec le message d'erreur suivant :
Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)“ »

Chrome et Safari limitent les certificats SSL à un an de validité

Apple hat vor kurzem angekündigt, dass der Safari-Browser künftig nur noch Zertifikate mit einer Gültigkeit von 398 Tagen akzeptieren wird, sofern diese ab 1. September 2020 ausgestellt wurden.

Mozilla und Google wollen in ihren Browsern ein vergleichbares Verhalten implementieren. Es stellt sich also die Frage, ob diese Änderung Auswirkungen auf interne Zertifizierungsstellen haben wird – ob künftig also auch interne SSL-Zertifikate diese Regeln befolgen müssen, wie es beispielsweise bei der Erzwingung des RFC 2818 durch Google der Fall war.

Continuer la lecture de « Chrome und Safari limitieren SSL Zertifikate auf ein Jahr Gültigkeit »

Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat

Heutzutage eher eine Kuriosität als wirklich praxisrelevant, aber es kommt hin und wieder vor, dass man Zertifikatanforderungen erhält, welche mehr als einen gemeinsamen Namen (Common Name) im Betreff (Subject) beinhalten. Auch wenn es erstaunlich wirken mag, dies ist durchaus möglich und auch RFC-konform.

Continuer la lecture de « Mehr als ein gemeinsamer Name (Common Name, CN) im Zertifikat »

Noms distinctifs relatifs (RDN) autorisés dans le Subject Distinguished Name (DN) des certificats délivrés

En principe, le RFC 5280 l'utilisation de n'importe quelle chaîne de caractères dans le Subject Distinguished Name (DN) d'un certificat. Les champs courants sont, dans la norme X.520 sont décrits. Le site Des restrictions de longueur sont également recommandées par l'UIT-T. Les abréviations courantes d'aujourd'hui sont principalement issues du RFC 4519.

Cependant, par défaut, les Microsoft Active Directory Certificate Services n'autorisent que certains RDN.

Les noms distinctifs relatifs (RDN) suivants sont acceptés par défaut par l'autorité de certification Active Directory Certificate Services (ADCS) :

Continuer la lecture de « Erlaubte Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate »

Inspecter une demande de certificat (CSR)

On souhaite souvent vérifier une demande de certificat avant de la transmettre à une autorité de certification - ou avant d'émettre le certificat - pour s'assurer qu'elle contient les valeurs souhaitées.

La manière d'y parvenir est décrite ci-dessous.

Continuer la lecture de « Eine Zertifikatanforderung (CSR) inspizieren »

Génération d'une demande de certificat conforme à la RFC 2818 pour les certificats SSL

Google est très actif avec le projet Chromium et les produits basés sur ce dernier, tels que Google Chrome et Microsoft Edge ont commencé à appliquer la loi sur la protection des données adoptée en 2000. RFC 2818 et de ne plus faire confiance aux certificats qui ne satisfont plus au RFC.

Pour nous, la phrase suivante est d'une grande acuité :

Si une extension subjectAltName de type dNSName est présente, elle DOIT être utilisée comme identité. Sinon, le champ Nom commun (le plus spécifique) dans le champ Sujet du certificat DOIT être utilisé. Bien que l'utilisation du nom commun soit une pratique existante, elle est dépréciée et les autorités de certification sont encouragées à utiliser le dNSName à la place.

https://tools.ietf.org/html/rfc2818
Continuer la lecture de « Erzeugen einer RFC 2818 konformen Zertifikatanforderung für SSL Zertifikate »

Mise en danger de la structure globale d'Active Directory par le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2

En réseau circulent malheureusement beaucoup sur beaucoup de Instructions (même les grands acteurs n'en sont pas excluspas même Microsoft lui-même ou le Grand Maître Komar), qui recommandent fatalement que le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2 soit activé sur l'autorité de certification - soi-disant pour être en mesure d'émettre des certificats avec l'extension Subject Alternative Name (SAN) pour les demandes de certificats faites manuellement.

Malheureusement, cette procédure n'est pas seulement inutile, elle a aussi quelques effets secondaires désagréables qui peuvent, dans le pire des cas, aider un attaquant à prendre le contrôle de toute la structure globale d'Active Directory.

Continuer la lecture de « Gefährdung der Active Directory Gesamtstruktur durch das Flag EDITF_ATTRIBUTESUBJECTALTNAME2 »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais