Gerenciamento de certificado de assinatura confiável
Este artigo descreve os certificados de Assinatura Confiável, incluindo seus dois atributos exclusivos, o processo de gerenciamento do ciclo de vida zero-touch do serviço, a importância das contraassinaturas de carimbo de data/hora e as ações de monitoramento e revogação de ameaças ativas da Microsoft.
Os certificados usados no serviço de Assinatura Confiável seguem práticas padrão para certificados de assinatura de código X.509. Para oferecer suporte a um ecossistema saudável, o serviço inclui uma experiência totalmente gerenciada para certificados X.509 e chaves assimétricas para assinatura. A experiência de Assinatura Confiável totalmente gerenciada fornece todas as ações do ciclo de vida do certificado para todos os certificados em um recurso de perfil de certificado de Assinatura Confiável.
Atributos do certificado
A Assinatura Confiável usa o tipo de recurso de perfil de certificado para criar e gerenciar certificados X.509 v3 que os clientes da Assinatura Confiável usam para assinatura. Os certificados estão em conformidade com o padrão RFC 5280 e com os recursos relevantes da Política de Certificado (CP) e Declarações de Práticas de Certificação (CPS) dos Serviços PKI da Microsoft que estão no repositório dos Serviços PKI da Microsoft.
Além dos recursos padrão, os perfis de certificado na Assinatura Confiável incluem os dois recursos exclusivos a seguir para ajudar a reduzir os riscos e impactos associados ao uso indevido ou abuso da assinatura de certificado:
- Certificados de curta duração
- Validação de identidade do assinante Uso estendido de chave (EKU) para fixação de identidade durável
Certificados de curta duração
Para ajudar a reduzir o impacto do uso indevido e abuso da assinatura, os certificados de Assinatura Confiável são renovados diariamente e são válidos por apenas 72 horas. Nesses certificados de curta duração, as ações de revogação podem ser tão agudas quanto um único dia ou tão amplas quanto necessário para cobrir quaisquer incidentes de uso indevido e abuso.
Por exemplo, se for determinado que um assinante assinou um código que era malware ou uma aplicação potencialmente indesejada (API), conforme definido em Como a Microsoft identifica malware e aplicações potencialmente indesejadas, as ações de revogação podem ser isoladas para revogar apenas o certificado que assinou o malware ou a API. A revogação afeta apenas o código que foi assinado usando esse certificado no dia em que foi emitido. A revogação não se aplica a nenhum código que tenha sido assinado antes desse dia ou depois desse dia.
Validação de identidade de assinante EKU
É comum que os certificados de assinatura de entidade final X.509 sejam renovados em um cronograma regular para garantir a higiene da chave. Devido à renovação diária do certificado da Assinatura Confiável, fixar confiança ou validação em um certificado de entidade final que usa atributos de certificado (por exemplo, a chave pública) ou a impressão digital de um certificado (o hash do certificado) não é durável. Além disso, os valores de Nome Distinto da Entidade (DN da entidade) podem mudar ao longo do tempo de vida de uma identidade ou organização.
Para resolver esses problemas, a Assinatura Confiável fornece um valor de identidade durável em cada certificado associado ao recurso de validação de identidade da assinatura. O valor de identidade durável é um EKU personalizado que tem o prefixo 1.3.6.1.4.1.311.97. e é seguido por mais valores de octeto que são exclusivos para o recurso de validação de identidade usado no perfil de certificado. Seguem-se alguns exemplos:
Exemplo de validação de identidade de Confiança Pública
Um valor de indica um assinante de Assinatura Confiável que usa a validação de identidade de
1.3.6.1.4.1.311.97.990309390.766961637.194916062.941502583Confiança Pública. O1.3.6.1.4.1.311.97.prefixo é o tipo de assinatura de código de Confiança Pública de Assinatura Confiável. O990309390.766961637.194916062.941502583valor é exclusivo para a validação de identidade do assinante para Confiança Pública.Exemplo de validação de identidade de Confiança Privada
Um valor de indica um assinante de Assinatura Confiável que usa a validação de identidade de
1.3.6.1.4.1.311.97.1.3.1.29433.35007.34545.16815.37291.11644.53265.56135Confiança Privada. O1.3.6.1.4.1.311.97.1.3.1.prefixo é o tipo de assinatura de código Trusted Signing Private Trust. O29433.35007.34545.16815.37291.11644.53265.56135valor é exclusivo para a validação de identidade do assinante para Private Trust.Como você pode usar validações de identidade de Confiança Privada para assinatura de diretiva de integridade de código (CI) do Windows Defender Application Control (WDAC), elas têm um prefixo EKU diferente:
1.3.6.1.4.1.311.97.1.4.1.. Mas os valores de sufixo correspondem ao valor de identidade durável para a validação de identidade do assinante para Private Trust.
Nota
Você pode usar EKUs de identidade durável nas configurações de diretiva WDAC CI para fixar confiança a uma identidade na Assinatura Confiável. Para obter informações sobre como criar políticas WDAC, consulte Usar políticas assinadas para proteger o Controle de Aplicativo do Windows Defender contra adulteração e Assistente de Controle de Aplicativo do Windows Defender.
Todos os certificados de Confiança Pública de Assinatura Confiável também contêm o 1.3.6.1.4.1.311.97.1.0 EKU para ser facilmente identificado como um certificado publicamente confiável da Assinatura Confiável. Todos os EKUs são fornecidos além da assinatura de código EKU (1.3.6.1.5.5.7.3.3) para identificar o tipo de uso específico para consumidores de certificado. A única exceção são os certificados que são o tipo de perfil de certificado de Diretiva de CI de Confiança Privada de Assinatura Confiável, no qual nenhum EKU de assinatura de código está presente.
Gerenciamento do ciclo de vida do certificado sem toque
A Assinatura Confiável tem como objetivo simplificar ao máximo a assinatura para cada assinante. Uma parte importante da simplificação da assinatura é fornecer uma solução de gerenciamento do ciclo de vida do certificado totalmente automatizada. O recurso de gerenciamento do ciclo de vida do certificado zero-touch de Assinatura Confiável lida automaticamente com todas as ações de certificado padrão para você.
Inclui:
- Geração, armazenamento e uso de chaves seguras nos módulos de criptografia de hardware FIPS 140-2 Nível 3 gerenciados pelo serviço.
- Renovações diárias de certificados para garantir que você sempre tenha um certificado válido para usar para assinar seus recursos de perfil de certificado.
Todos os certificados criados e emitidos são registrados no portal do Azure. Você pode exibir feeds de dados de registro que incluem número de série do certificado, impressão digital, data de criação, data de validade e status (por exemplo, Ativo, Expirado ou Revogado) no portal.
Nota
A Assinatura Confiável não oferece suporte à importação ou exportação de chaves privadas e certificados. Todos os certificados e chaves que você usa na Assinatura Confiável são gerenciados dentro dos módulos de criptografia de hardware operados pelo FIPS 140-2 Nível 3.
Contraassinaturas de carimbo de data/hora
A prática padrão na assinatura é contraassinar todas as assinaturas com um carimbo de data/hora compatível com RFC 3161. Como a Assinatura Confiável usa certificados de curta duração, a contraassinatura de carimbo de data/hora é fundamental para que uma assinatura seja válida além da vida útil do certificado de assinatura. Uma contraassinatura de carimbo de data/hora fornece um token de carimbo de data/hora criptograficamente seguro de uma Autoridade de Carimbo de Hora (TSA) que atende aos padrões dos Requisitos de Linha de Base de Assinatura de Código (CSBRs).
Uma contraassinatura fornece uma data e hora confiáveis de quando a assinatura ocorreu. Se a contraassinatura do carimbo de data/hora estiver dentro do período de validade do certificado de assinatura e do período de validade do certificado TSA, a assinatura será válida. É válido muito depois de o certificado de assinatura e o certificado TSA expirarem (a menos que ambos sejam revogados).
A Assinatura Confiável fornece um ponto de extremidade TSA geralmente disponível em http://timestamp.acs.microsoft.com. Recomendamos que todos os assinantes de Assinatura Confiável usem esse ponto de extremidade TSA para contraassinar quaisquer assinaturas que produzam.
Monitorização ativa
A Assinatura Confiável apoia apaixonadamente um ecossistema saudável usando o monitoramento ativo de inteligência de ameaças para procurar constantemente casos de uso indevido e abuso dos certificados de Confiança Pública dos assinantes da Assinatura Confiável.
Para um caso confirmado de uso indevido ou abuso, a Assinatura Confiável toma imediatamente as medidas necessárias para mitigar e remediar quaisquer ameaças, incluindo revogação de certificado direcionada ou ampla e suspensão de conta.
Você pode concluir ações de revogação diretamente no portal do Azure para quaisquer certificados registrados em um perfil de certificado de sua propriedade.