HTTPS certifikát v interní síti

[goudy]

Ahoj,
zkousel nekdo z Vas se zbavit hlaseni o neplatnosti certifika
tu na internich vecech - routerech, nasech atd? Tj. nejaky lets encrypt pro toto pouziti?

[Reklama]

[Filip Jirsák]

Používám pro to certifikáty Let's Encrypt, ověřování dělám přes DNS. Tj. do internetu je vystavený jen DNS server pro veřejnou doménu. Samotná zařízení vůbec z internetu dostupná být nemusí. Mám to tak pro NAS a router.

[Daveran]

Ano, interní certifikační autorita, její kořenový certifikát přes AD rozdistribuován na stanice a certifikáty vystaveny a nainstalovány na potřebná zařízení.

[MP]

Ano, interní certifikační autorita, její kořenový certifikát přes AD rozdistribuován na stanice a certifikáty vystaveny a nainstalovány na potřebná zařízení.

Tohle na routery apod. nefunguje, bohuzel.

[Daveran]

Ano, interní certifikační autorita, její kořenový certifikát přes AD rozdistribuován na stanice a certifikáty vystaveny a nainstalovány na potřebná zařízení.

Tohle na routery apod. nefunguje, bohuzel.

Pokud umí importovat certifikát tak funguje, proč by nefungovalo ? Vyzkoušeno na Mikrotik, Cisco, Zyxel,.... Certifikáty na interní doménu (.local), DNS záznamy a na ně vystavené certifikáty. Funguje to.

[Reklama]

[Filip Jirsák]

Pokud umí importovat certifikát tak funguje, proč by nefungovalo ? Vyzkoušeno na Mikrotik, Cisco, Zyxel,.... Certifikáty na interní doménu (.local), DNS záznamy a na ně vystavené certifikáty. Funguje to.

Funguje to jedině v případě, že ten router má certifikát poskytovat. Pokud by mu měl i důvěřovat (třeba nějaký víceúčelový router), je to něco jiného.

Obecně distribuce vlastní CA přes AD funguje dobře na stanice s Windows, ale jinde už vám to nepomůže – Linuxové/unixové servery, mobilní telefony, IoT, tam vám AD nijak nepomůže. Chápu, že kde se interní CA nebo jen interní doména používá, je nejjednodušší v tom pokračovat, ale rozhodně bych to nikde nově nezaváděl. Přiděláte si tím akorát problémy, a bude jich čím dál víc. S důvěryhodnými certifikáty, s DNSSEC… Když začínáte s něčím novým, určitě bych použil veřejnou doménu, některé záznamy z ní se klidně mohou překládat jen ve vnitřní síti. Můžete bez problémů používat všeobecně používané certifikační autority, DNSSEC, klidně i HSTS preload.

[Petr]

Pokud umí importovat certifikát tak funguje, proč by nefungovalo ? Vyzkoušeno na Mikrotik, Cisco, Zyxel,.... Certifikáty na interní doménu (.local), DNS záznamy a na ně vystavené certifikáty. Funguje to.

Funguje to jedině v případě, že ten router má certifikát poskytovat. Pokud by mu měl i důvěřovat (třeba nějaký víceúčelový router), je to něco jiného.

Proč? V dnešní době IaC? Když je někdo odkázán na privátní TLD, není běžné mít PKI zcela (nebo částečně) založenou na  interní kořenové (nebo mezilehlé) CA implementované třeba v Ansible roli? Automaticky generující a podepisující CSRs, automaticky distribuující certifikát této autority? Třeba i včetně generovaného CRL?

[Petr]

Omlouvám se, přehlídl jsem že to byla reakce na distribuci přes AD. IMHO, přesto IaC je více univerzální alternativou nebo doplněním.

[Filip Jirsák]

Proč? V dnešní době IaC? Když je někdo odkázán na privátní TLD, není běžné mít PKI zcela (nebo částečně) založenou na  interní kořenové (nebo mezilehlé) CA implementované třeba v Ansible roli? Automaticky generující a podepisující CSRs, automaticky distribuující certifikát této autority? Třeba i včetně generovaného CRL?

Protože dostat do některých zařízení vlastní kořenový certifikát není úplně snadné a už vůbec to nejde přes AD. Vy k tomu přidáváte Ansible, jenže ne všechno jde rozumně automatizovat a ne vždy se to vyplatí. Když mám jediné zařízení takového typu, které má jenom webové klikací rozhraní, nebo jenom nějaký telnet, nebudu řešit automatizované nahrávání certifikátu certifikační autority, abych to pak slavnostně spustil ideálně jednou za životnost toho zařízení. A těch zařízení, která se do sítě připojují ad-hoc, může být velké množství – obrazy virtuálních počítačů, Docker obrazy, mobilní telefony, notebooky… Navíc já teda jako uživatel rozhodně nejsem nadšený, když mi někdo vnucuje, že musím mít v systému jeho certifikační autoritu. „Je to bezpečný, my to používáme jenom ve firmě a podepisujeme tím jenom naše interní domény…“ No jo, ale kdo jim zabrání podepsat tím třeba google.com, třeba omylem?

To mělo smysl, když DV certifikáty byly drahé. Chápu, že to dál provozují tam, kde už to mají zavedené. Ale zavádět to někde dnes? Proč? Velké náklady na zavedení a pak náklady na provoz… To ty automatizační nástroje radši použiju na zajištění obnovy certifikátů od Let's Encrypt.

[Max Devaine]

Osobně používám vlastní CA. Jedu doménu
corp.devaine.cz
dceřinky pak :
dcera.corp.devaine.cz

Distribuce CA cert napříč vším není problém.
Zařízení, které by nepodporovalo import vlastního cert nemáme a kdyby ho někdo měl, tak stejně nechápu, co tomu pomůže třeba použití letsencrypt apod.
Máme pár věcí, kde zařízení umí vystavit jen žádost, ale tu podepíšu naší CA a jede se dál. Nevidím v tom problém.
Naopak bych asi nechtěl interní servery, managementy apod. zdůvěryhodňovávat přes letsencrypt apod.
Interní síť mám pod kontrolou, důvěryhodnost je vysoká, není tedy ani problém vystavovat cert s životností 5 a více let.
Zdar Max

[Filip Jirsák]

Zařízení, které by nepodporovalo import vlastního cert nemáme

Nejde o import vlastního certifikátu, ale o přidání vlastní certifikační autority.

Naopak bych asi nechtěl interní servery, managementy apod. zdůvěryhodňovávat přes letsencrypt apod.

Proč ne?

Interní síť mám pod kontrolou, důvěryhodnost je vysoká, není tedy ani problém vystavovat cert s životností 5 a více let.

Vy té síti asi věříte. Otázka je, zda té vaší autoritě budou stejně věřit všichni uživatelé.

[Max Devaine]

Zařízení, které by nepodporovalo import vlastního cert nemáme

Nejde o import vlastního certifikátu, ale o přidání vlastní certifikační autority.

I tak asi nemáme a už si dávám pořádný pozor, co se nakupuje, resp. žádný srajdy už nechci ani vidět.
Navíc pokud nějaké takové zařízení někdo má, tak stejný problém bude mít i s veřejnou CA, která mnohdy nebývá součástí podobných bazmeků.

Naopak bych asi nechtěl interní servery, managementy apod. zdůvěryhodňovávat přes letsencrypt apod.

Proč ne?

Moc práce, je jednodušší jednou za 7 let vygenerovat cert a pak už to neřešit. Ono stejně, 5 - 7 let je životnost služby/systému/zařízení. Takže reálně je to tak, že při instalaci vygeneruji cert a do konce životnosti na to nemusím sáhnout.
Jednou za pár let pak vždy nasadím novou CA s lepšími klíči odpovídající normám v době nasazení, rozdistribuuji uživatelům a pak na tuto CA přecházím formou nasazování nových služeb apod. No problemo.

Interní síť mám pod kontrolou, důvěryhodnost je vysoká, není tedy ani problém vystavovat cert s životností 5 a více let.

Vy té síti asi věříte. Otázka je, zda té vaší autoritě budou stejně věřit všichni uživatelé.

Proč by nevěřili, když to všem distribuuji? Připomínám, že se tu bavíme o interní komunikaci v rámci firmy, ne k zákazníkům. Směrem k zákazníkům jedu veřejné CA.
Zdar Max

[Filip Jirsák]

Navíc pokud nějaké takové zařízení někdo má, tak stejný problém bude mít i s veřejnou CA, která mnohdy nebývá součástí podobných bazmeků.

Řekl bych, že by byla dost smůla natrefit na zařízení, které má nějaký seznam důvěryhodných autorit a nemá mezi nimi Digital Signature Trust Co.

Proč by nevěřili, když to všem distribuuji?

To, že někomu vnutíte, že tomu certifikátu musí důvěřovat, ještě neznamená, že mu sám opravdu chce důvěřovat.

Připomínám, že se tu bavíme o interní komunikaci v rámci firmy, ne k zákazníkům.

Pokud je to nějaká uzavřená síť, ideálně odpojená od internetu, pak to tak může fungovat. Já mám na mysli sítě, které mají i části, kam se mohou připojovat soukromá zařízení (mobily, tablety, notebooky) třeba zaměstnanců nebo návštěv, připojují se tam zaměstnanci ze svých soukromých zařízení přes VPN atd. A zároveň jsou tam interní služby, které jsou v těchto sítích dostupné (wiki, e-mail, adresář).

A nebo prostě moje domácí síť. Kvůli certifikátům pro router, NAS a webkameru nebudu provozovat vlastní CA a řešit distribucí certifikátů na mobily návštěv.

[Max Devaine]

Proč by nevěřili, když to všem distribuuji?

To, že někomu vnutíte, že tomu certifikátu musí důvěřovat, ještě neznamená, že mu sám opravdu chce důvěřovat.

To je hodně divný komentář. To samé můžete tvrdit o CA, které jsou distribuovány v rámci OS, prohlížečů atd. Není v tom rozdíl. Navíc sám běžný uživatel ani o tom, že nějaký CA je, neví, natož zda tomu má důvěřovat nebo ne.

Připomínám, že se tu bavíme o interní komunikaci v rámci firmy, ne k zákazníkům.

Pokud je to nějaká uzavřená síť, ideálně odpojená od internetu, pak to tak může fungovat. Já mám na mysli sítě, které mají i části, kam se mohou připojovat soukromá zařízení (mobily, tablety, notebooky) třeba zaměstnanců nebo návštěv, připojují se tam zaměstnanci ze svých soukromých zařízení přes VPN atd. A zároveň jsou tam interní služby, které jsou v těchto sítích dostupné (wiki, e-mail, adresář).

A nebo prostě moje domácí síť. Kvůli certifikátům pro router, NAS a webkameru nebudu provozovat vlastní CA a řešit distribucí certifikátů na mobily návštěv.

[/quote]

Proč by měla být odpojená od netu? Prostě existuje interní komunikace a komunikace z venku. Pokud jde o BYOD, tak opět není problém distribuovat cert směrem k uživateli takového zařízení.
Pokud máte nějakou home síť a aplikujete zkušenosti z provozu z ní na korporátní síť, tak chápu, že můžete mít značně zkreslené představy.
Zdar Max

[Filip Jirsák]

To samé můžete tvrdit o CA, které jsou distribuovány v rámci OS, prohlížečů atd. Není v tom rozdíl.

Je v tom rozdíl, protože ty CA distribuované v rámci OS nebo prohlížečů můžu jako vlastník daného počítače spravovat, tj. můžu je označit za nedůvěryhodné. Pokud mi správce vnutí CA přes AD, obvykle znemožní i správu těch certifikátů.

Navíc sám běžný uživatel ani o tom, že nějaký CA je, neví, natož zda tomu má důvěřovat nebo ne.

Ale někteří uživatelé to vědí. Navíc pak provozovatel té CA spoléhá na uživatelovu neznalost a na to, že mu CA stejně vnutí – takž emotivace tu CA nějak zabezpečit a nezneužívat jí je hodně nízká. Jediné, co takovému provozovateli interní CA brání vydat certifikát pro *.google.com je to, že se mu do toho nechce.

Proč by měla být odpojená od netu? Prostě existuje interní komunikace a komunikace z venku.

Aby bylo zajištěno, že ta interní CA nebude zneužita k vydání certifikátů pro něco venku.

Pokud jde o BYOD, tak opět není problém distribuovat cert směrem k uživateli takového zařízení.

A to je přesně to, co v žádném případě nechci – instalovat si do svého mobilu nebo na svůj počítač jako důvěryhodnou nějakou certifikační autoritu, o jejímž fungování ví akorát správce dané sítě a jeho zástupce.

Pokud máte nějakou home síť a aplikujete zkušenosti z provozu z ní na korporátní síť, tak chápu, že můžete mít značně zkreslené představy.

Že se jedná o korporátní síť je jen vaše fabulace. A vaše představa o korporátní síti, ve které je správce neomezeným vládcem, může vše a uživatelé včetně ředitele korporace mohou akorát srazit podpatky a poslouchat, sice odpovídá některým korporátním sítím, ale ne všem.