Cisco VPN套件中过期的SSL证书将破坏网络配置

2018-08-10 8,202

885x491cisco.jpg


任何运行思科支持的虚拟专用网络(VPN)的人都可能需要安装更新以确保一切正常运行。 这是因为思科无意中允许嵌入在软件定义网络控制器的Switchzilla应用程序策略基础架构控制器企业模块(APIC-EM)中的SSL证书已于7月13日到期。

在8月6日发布的通知中,思科解释道:
APIC-EM公钥基础结构(PKI)代理在受影响的软件版本中失败。 其结果是,APIC-EM实例变得无法提供信任点。 具有此问题的APIC-EM实例无法生成新设备安全套接字层(SSL)证书或使用APIC-EM智能WAN(IWAN)应用程序来部署新的中心/分支站点。

造成这种情况的原因是嵌入式SSL证书到期,从而阻止了任何新信任点的创建。嵌入式SSL证书实际上充当了名为EJBCA的开源证书颁发机构的根。 当根证书有效时,它可以颁发,更新和撤销用于跨VPN进行身份验证和加密的X.509证书。

当root被取消信任或过期时,您将无法再颁发新证书,并且有可能将链接回过期证书的所有现有证书变为不受信任。尽管后者并没有发生,但无法正确签发证书的问题仍导致大量用户无法创建新的端。

对此,思科表示正在加紧修复中:

APIC-EM版本1.6.3中将提供此问题的修复程序。等不及的客户可以找思科网络工程师将手动补丁应用于受影响的系统。请联系技术支持中心(TAC)以获取有关手动补丁的帮助。

单个证书过期的影响是很大的,一张过期的证书会卸下你大部分的攻击防备。我们总在努力不让证书过期,却从未在发生之前做好准备。这就是为什么,特别是在企业级别,证书可见性和使用适当的工具来管理证书生命周期如此重要的原因。获得一张证书并非难事,但要维护和保持水准却没那么容易。思科的过失正是在提醒企业级SSL证书用户,没有一劳永逸的安全,是该在证书管理上多下功夫了!

本文作者:TrustAsia亚洲诚信

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/74140.html

Tags:
评论  (0)
快来写下你的想法吧!

TrustAsia亚洲诚信

文章数:21 积分: 102

TrustAsia亚洲诚信是亚数信息科技(上海)有限公司应用于信息安全领域的品牌,秉承以技术服务为核心,致力于对符合本地化的SSL证书技术及相关网络信息安全实施方案的研究和推广,作为DigiCert/Symantec亚太区白金战略合作伙伴和首席安全技术专家战略合作伙伴,在数字证书领域和互联网安全领域位居领先地位,以高度专业化水准为各行业提供国际知名品牌SSL数字证书、TrustAsia®自主品牌的SSL证书以及自主知识产权的SSL证书管理、SSL协议级监测和证书风险评测等一系列网络信息安全管理解决方案,深受业界的持续关注和广泛认可。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号