Gerenciamento de certificado de autenticação confiável
Este artigo descreve os certificados de Assinatura Confiável, incluindo seus dois atributos exclusivos, o processo de gerenciamento zero toque do ciclo de vida do serviço, a importância de referendar carimbo de data/hora e as ações ativas de monitoramento e revogação de ameaças da Microsoft.
Os certificados que são usados no serviço de Assinatura Confiável seguem as práticas padrão para certificados de assinatura de código X.509. Para dar suporte a um ecossistema íntegro, o serviço inclui uma experiência totalmente gerenciada para os certificados X.509 e chaves assimétricas para assinatura. A experiência de Assinatura Confiável totalmente gerenciada fornece todas as ações do ciclo de vida do certificado para todos os certificados em um recurso de perfil de certificado de Assinatura Confiável.
Atributos de certificado
A Assinatura Confiável usa o tipo de recurso de perfil do certificado para criar e gerenciar certificados X.509 v3 que os clientes de Assinatura Confiável usam para assinar. Os certificados estão em conformidade com o padrão RFC 5280 e recursos da Política de Certificados (CP) de Serviços PKI da Microsoft e as Declarações de Práticas de Certificação (CPS) relevantes que estão no repositório dos Serviços PKI da Microsoft.
Além dos recursos padrão, os perfis de certificado na Assinatura Confiável incluem os dois recursos exclusivos a seguir para ajudar a reduzir riscos e impactos associados ao uso indevido ou abuso da assinatura de certificado:
- Certificados de curta duração
- EKU (Uso Avançado de Chave) da validação de identidade do assinante para fixação de identidade durável
Certificados de curta duração
Para ajudar a reduzir o impacto do uso indevido e abuso da assinatura, os certificados de Assinatura Confiável são renovados diariamente e são válidos apenas por 72 horas. Nesses certificados de curta duração, as ações de revogação podem ser tão agudas quanto um único dia ou tão amplas quanto necessário, para cobrir quaisquer incidentes de uso indevido e abuso.
Por exemplo, se for determinado que um código assinado pelo assinante era malware ou PUA (aplicativo potencialmente indesejado), conforme definido em Como a Microsoft identifica malware e aplicativos potencialmente indesejados, as ações de revogação podem ser isoladas apenas para revogar o certificado que assinou o malware ou PUA. A revogação afeta apenas o código que foi assinado usando esse certificado no dia em que foi emitido. A revogação não se aplica a nenhum código que tenha sido assinado antes daquele dia ou depois desse dia.
EKU de validação de identidade do assinante
É comum renovar regularmente os certificados de assinatura de entidade final X.509 para garantir a higiene das chaves. Devido à renovação diária do certificado da Assinatura Confiável, fixar confiança ou validação a um certificado de entidade final que usa atributos de certificado (por exemplo, a chave pública) ou a impressão digital de um certificado (hash do certificado) não é durável. Além disso, os valores de DN (Nome diferenciado) da entidade podem mudar ao longo do tempo de vida de uma identidade ou organização.
Para resolver esses problemas, a Assinatura Confiável fornece um valor de identidade durável em cada certificado associado ao recurso de validação de identidade da assinatura. O valor de identidade durável é um EKU personalizado que tem um prefixo 1.3.6.1.4.1.311.97. e é seguido por valores de octeto adicionais que são exclusivos para o recurso de validação de identidade usado no perfil de certificado. Estes são alguns exemplos:
Exemplo de validação de identidade de Confiança Pública
Um valor de
1.3.6.1.4.1.311.97.990309390.766961637.194916062.941502583indica um assinante de Assinatura Confiável que usa a validação de identidade de Confiança Pública. O prefixo1.3.6.1.4.1.311.97.é o tipo de assinatura de código de Confiança Pública de Assinatura Confiável. O valor990309390.766961637.194916062.941502583é exclusivo para a validação de identidade do assinante para a Confiança Pública.Exemplo de validação de identidade de Confiança Privada
Um valor de
1.3.6.1.4.1.311.97.1.3.1.29433.35007.34545.16815.37291.11644.53265.56135indica um assinante de Assinatura Confiável que usa a validação de identidade de Confiança Privada. O prefixo1.3.6.1.4.1.311.97.1.3.1.é o tipo de assinatura de código de Confiança Privada de Assinatura Confiável. O valor29433.35007.34545.16815.37291.11644.53265.56135é exclusivo para a validação de identidade do assinante para a Confiança Privada.Como você pode usar validações de identidade de Confiança Privada para assinatura de política de CI (Integridade de Código) do WDAC (Controle de Aplicativo do Windows Defender), elas têm um prefixo de EKU diferente:
1.3.6.1.4.1.311.97.1.4.1.. No entanto, os valores de sufixo correspondem ao valor de identidade durável para a validação de identidade do assinante para Confiança Privada.
Observação
Você pode usar os EKUs de identidade durável nas configurações da Política de CI do WDAC para fixar a confiança em uma identidade na Assinatura Confiável. Para saber mais sobre a criação de políticas do WDAC, consulte Usar políticas assinadas para proteger o Controle de Aplicativos do Windows Defender contra adulteração e o Assistente do Controle de Aplicativos do Windows Defender.
Todos os certificados de Confiança Pública de Assinatura Confiável também contêm a EKU 1.3.6.1.4.1.311.97.1.0 a ser facilmente identificada como um certificado publicamente confiável da Assinatura Confiável. Todos os EKUs são fornecidos além do EKU de assinatura de código (1.3.6.1.5.5.7.3.3) para identificar o tipo de uso específico para consumidores de certificados. A única exceção são os certificados que são o tipo de perfil de certificado da Política de CI de Confiança Privada de Assinatura Confiável, no qual nenhum EKU de assinatura de código está presente.
Gerenciamento do ciclo de vida sem toque do certificado
A Assinatura Confiável visa simplificar a assinatura o máximo possível para cada assinante. Uma parte importante da simplificação da assinatura é fornecer uma solução de gerenciamento de ciclo de vida de certificado totalmente automatizada. O recurso de gerenciamento de zero toque do ciclo de vida do certificado da Assinatura Confiável lida automaticamente com todas as ações de certificado padrão para você.
Ele inclui:
- Protege a geração, o armazenamento e o uso de chaves nos módulos de criptografia de hardware FIPS 140-2 nível 3 que o serviço gerencia.
- Renovações diárias dos certificados para garantir que você sempre tenha um certificado válido para usar em assinaturas de seus recursos de perfil de certificado.
Cada certificado que você cria e emite é registrado no portal do Azure. Você pode ver feeds de dados de log que incluem o número de série, a impressão digital, a data de criação, a data de expiração e o status do certificado (por exemplo, Ativo, Expirado ou Revogado) no portal.
Observação
A Assinatura Confiável não dá suporte a importação ou exportação de certificados e chaves privadas. Todos os certificados e chaves que você usa na Assinatura Confiável são gerenciados dentro de módulos de criptografia de hardware operados por FIPS 140-2 Nível 3.
Contra-atribuições de carimbo de data/hora
A prática padrão na assinatura é referendar todas as assinaturas com um carimbo de data/hora em conformidade com RFC 3161. Como a Assinatura Confiável usa certificados de curta duração, referendar o carimbo de data/hora é essencial para que as assinaturas sejam válidas além da vida útil do certificado de assinatura. Uma referenda de carimbo de data/hora fornece um token de carimbo de data/hora criptograficamente seguro de uma TSA (Autoridade de Carimbo de Data/Hora) que atende aos requisitos padrão nas CSBRs (Requisitos de Linha de Base de Assinatura de Código).
Uma referenda fornece uma data e hora confiáveis de quando a assinatura ocorreu. Se a referenda de carimbo de data/hora estiver dentro do período de validade do certificado de autenticação e do período de validade do certificado de TSA, a assinatura será válida. Ela é válida muito tempo depois que o certificado de assinatura e o certificado de TSA expiram (a menos que ambos sejam revogados).
A Assinatura Confiável fornece um ponto de extremidade de TSA em disponibilidade geral em http://timestamp.acs.microsoft.com. Recomendamos que todos os assinantes de Assinatura Confiável usem esse ponto de extremidade de TSA para referendar as assinaturas que produzem.
Monitoramento ativo
A Assinatura Confiável dá suporte apaixonadamente a um ecossistema íntegro usando o monitoramento ativo de inteligência contra ameaças para procurar constantemente casos de uso indevido e abuso de certificados de Confiança Pública dos assinantes de Assinatura Confiável.
Para um caso confirmado de uso indevido ou abuso, a Assinatura Confiável realizará imediatamente as etapas necessárias para atenuar e corrigir quaisquer ameaças, incluindo revogação de certificado direcionada ou ampla e suspensão da conta.
Você também pode realizar ações de revogação diretamente do portal do Azure para todos os certificados registrados em um perfil de certificado que você possui.