任何執行思科支援的虛擬專用網路(VPN)的人都可能需要安裝更新以確保一切正常執行。 這是因為思科無意中允許嵌入在軟體定義網路控制器的Switchzilla應用程式策略基礎架構控制器企業模組(APIC-EM)中的SSL證書已於7月13日到期。
在8月6日釋出的通知中,思科解釋道: APIC-EM公鑰基礎結構(PKI)代理在受影響的軟體版本中失敗。 其結果是,APIC-EM例項變得無法提供信任點。 具有此問題的APIC-EM例項無法生成新裝置安全套接字層(SSL)證書或使用APIC-EM智慧WAN(IWAN)應用程式來部署新的中心/分支站點。
造成這種情況的原因是嵌入式SSL證書到期,從而阻止了任何新信任點的建立。嵌入式SSL證書實際上充當了名為EJBCA的開源證書頒發機構的根。 當根證書有效時,它可以頒發,更新和撤銷用於跨VPN進行身份驗證和加密的X.509證書。
當root被取消信任或過期時,您將無法再頒發新證書,並且有可能將連結回過期證書的所有現有證書變為不受信任。儘管後者並沒有發生,但無法正確簽發證書的問題仍導致大量使用者無法建立新的端。
對此,思科表示正在加緊修復中:
APIC-EM版本1.6.3中將提供此問題的修復程式。等不及的客戶可以找思科網路工程師將手動補丁應用於受影響的系統。請聯絡技術支援中心(TAC)以獲取有關手動補丁的幫助。
單個證書過期的影響是很大的,一張過期的證書會卸下你大部分的攻擊防備。我們總在努力不讓證書過期,卻從未在發生之前做好準備。這就是為什麼,特別是在企業級別,證書可見性和使用適當的工具來管理證書生命週期如此重要的原因。獲得一張證書並非難事,但要維護和保持水準卻沒那麼容易。思科的過失正是在提醒企業級SSL證書使用者,沒有一勞永逸的安全,是該在證書管理上多下功夫了!
稿源:The ssl store
【來自SSL中國:https://www.sslchina.com/cisco-vpn-ssl-expiration/】