Onde obter certificados de CA raiz para Windows Server agora que a Microsoft não os atualiza mais?

A Microsoft removeu as atualizações de CA raiz do WSUS em janeiro de 2013. Agora, tenho algumas instalações novas do Windows Server 2012 que possuem um conjunto insuficiente de CAs raiz (basicamente apenas as CAs da Microsoft). Isso significa que, sempre que nosso aplicativo chamar um serviço da Web https, ele falhará, a menos que eu instale especificamente a CA raiz.

Como nosso aplicativo usa terminação SSL em um balanceador de carga, não preciso me preocupar com a limitação de 16 KB do canal que levou a Microsoft a remover essas atualizações. Gostaria de encontrar um recurso para instalar e atualizar CAs raiz padrão. Alguém conhece esse recurso?

Aqui está uma imagem das CAs raiz padrão no WS2012.

Parece que isso se deve ao estranho GPO que minha empresa usa.

Conforme descrito aqui, a configuração do GPO Configuração do Computador \ Modelos Administrativos \ Sistema \ Gerenciamento de Comunicação da Internet \ Desativar Atualização Automática de Certificados Raiz foi Ativada , o que significa que o sistema operacional não obteria CAs raiz da Microsoft. Definir isso como Desativado corrigiu o problema.

Descobrimos que as CAs raiz estavam desatualizadas em alguns de nossos servidores Windows 2012 R2.

Após investigar isso, parece que a Microsoft lançou um patch para fornecer a capacidade de " Controlar o recurso de certificados raiz de atualização para impedir o fluxo de informações de e para a Internet " ( artigo da KB ).

Este patch apresenta novas chaves do Registro para impedir que o Windows Update atualize as CAs raiz juntamente com outras funcionalidades.

Definir a seguinte chave do Registro como 0 corrige o problema. Os certificados começam a ser instalados imediatamente após a alteração.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

Embora eu possa ver que os administradores podem querer controlar a atualização de suas máquinas sem o consentimento deles, acho que não permitir que as CAs raiz atualizem é um caso delicado que provavelmente causará mais problemas que ela corrige e ainda não sei por que a chave do registro foi definido em nossos servidores.

Há discussões sobre essas chaves do Registro e outras coisas que você pode fazer nos servidores Windows 2012 R2 aqui

Se ninguém mais disser, eu direi. A Microsoft fez besteira anos atrás e publicou uma atualização para as CAs raiz confiáveis ​​que quebraram qualquer máquina com a sorte de obter a atualização antes de a Microsoft fazer a atualização. Até hoje, eu ainda lido com esse problema.

Como entendo as implicações de segurança, não estou fornecendo links diretos para esses problemas. Em vez disso, é isso que se busca no Google para encontrar as informações relacionadas:

A atualização KB3004394 quebra o certificado raiz no Windows 7 / Windows Server 2008 R2

Microsoft lança o patch 'Silver Bullet' KB 3024777 para eliminar o KB 3004394

E o que experimentei e até hoje causa incontáveis ​​problemas:

Problemas de comunicação SSL / TLS após a instalação do KB 931125

Este pacote instalou mais de 330 autoridades de certificação raiz de terceiros. Atualmente, o tamanho máximo das autoridades de certificação confiáveis ​​listadas pelo pacote de segurança Schannel é de 16 kilobytes (KB). Ter uma grande quantidade de autoridades de certificação raiz de terceiros ultrapassará o limite de 16k e você terá problemas de comunicação TLS / SSL.

Outro motivo é porque a Microsoft desconfiou de várias CAs raiz ao longo dos anos. Os administradores preguiçosos simplesmente desativam esse recurso nos servidores da Intranet e nunca resolvem o problema raiz - assinando novamente tudo que não é mais confiável.

De qualquer forma, a resposta simples é usar um certificado de assinatura de código diferente.