Hola a todos

Hoy queremos hablaros sobre un tema que esperemos no vuelva a producirse, pero que en su momento provocó muchas llamadas a soporte a finales del año pasado y a principios de este año

⦁    Normalmente, la revisión del paquete de actualización KB931125 que se publicó el 11 de Diciembre de 2012 sólo se dirigiría a sistemas operativos cliente, pero durante un corto periodo de tiempo también se ofreció para sistemas operativos servidor a través de Windows Update y WSUS.

⦁    Esta actualización agregó más de 330 certificados de Entidades Certificadoras (CAs) Raíz de terceros al correspondiente almacén de certificados de confianza en los servidores.
⦁    Como resultado, cualquier servidor Windows Server 2008, 200R2 (o 2012) que instaló la actualización y proporcionaba servicios que dependían de la comunicación por TLS/SSL empezó a experimentar problemas de autenticación y de comunicación a través de este protocolo

⦁    Algunos de los múltiples síntomas experimentados incluían:

⦁    Fallos en el acceso a redes inalámbricas  y/o redes conectadas por cable que utilizaban autenticación basada en certificados
⦁    Problemas de conectividad de clientes a servidores de Lync o de Office Communications Server
⦁    Fallos en el acceso a portales web por SSL
⦁    Fallos de autenticación en Outlook/OWA
⦁    Retardos en el arranque de equipos cliente y en el inicio de sesión por parte de los usuarios

⦁    Una de las pistas más claras para identificar el problema podría encontrarse en el visor de sucesos de los servidores donde se había instalado la actualización:

 

  Log:           System

 
Origen:      Schannel

  
ID:             36885

  
Descripción

When asking for client authentication, this server sends a list of trusted certificate authorities to the client.

The client uses this list to choose a client certificate that is trusted by the server.

Currently, this server trusts so many certificate authorities that the list has grown too long. This list has thus been truncated

The administrator of this machine should review the certificate authorities trusted for client authentication and remove those that do not really need to be trusted.

 

⦁    Al haber instalado tantos certificados raíz, se había superado el tamaño máximo de la lista de CAs de confianza que Schannel puede enviar durante la autenticación cliente/servidor (16kb)
⦁    Al superarse este límite, el servidor SSL envía una lista truncada de certificados raíz al cliente durante la conversación SSL/TLS, de la cual que el cliente no encuentra uno en el que confía para poder validar correctamente el certificado del servidor con quien mantiene la comunicación.

⦁    El siguiente artículo proporciona una manera automatizada de eliminar los certificados raíz en los servidores afectados que instalaron la actualización 931125.

2801679 SSL/TLS communication problems after you install KB 931125

⦁    A partir de eliminar estos certificados, cualquier servidor Windows Server 2008 (o cliente Windows Vista) en adelante con conectividad a Internet debería poder descargar e instalar los certificados raíz de terceros que necesite bajo demanda mediante el mecanismo Automatic Root Update presente en estos sistemas operativos.

Información Adicional

⦁    Podemos encontrar más información sobre el mecanismo de actualización automática de certificados raíz en los siguientes enlaces.

Windows root certificate program members (sección: How Windows Updates Root Certificates) 

Certificate Support and Resulting Internet Communication in Windows Vista  

Importante resaltar que para que funcione, es necesario que los equipos tengan conectividad con Internet y que no se haya deshabilitado el mecanismo mediante directiva de grupo

⦁    En su día, podríamos habernos encontrado con una problemática parecida en servidores TLS/SSL Windows Server 2003, con la diferencia de que el límite de Schannel en este caso eran 12kb, antes de instalarse la  siguiente actualización

933430  Clients cannot make connections if you require client certificates on a Web site or if you use IAS in Windows Server 2003  

⦁    Resaltar también que pueden existir “workarounds” alternativos para que los servicios SSL/TLS no se vean afectados por esta casuística, como por ejemplo evitar por completo que Schannel envíe una lista de certificados a los clientes.

⦁    Como os seguiremos contando a través de estas páginas, Windows Server 2012 trae muchas novedades, entre ellas, otra nueva manera de evitar que nos encontremos con este problema durante la autenticación SSL.

Así que, “Watch this space” para seguir informados! :)

Tolu Igbon