任何运行思科支持的虚拟专用网络(VPN)的人都可能需要安装更新以确保一切正常运行。 这是因为思科无意中允许嵌入在软件定义网络控制器的Switchzilla应用程序策略基础架构控制器企业模块(APIC-EM)中的SSL证书已于7月13日到期。
在8月6日发布的通知中,思科解释道:
APIC-EM公钥基础结构(PKI)代理在受影响的软件版本中失败。 其结果是,APIC-EM实例变得无法提供信任点。 具有此问题的APIC-EM实例无法生成新设备安全套接字层(SSL)证书或使用APIC-EM智能WAN(IWAN)应用程序来部署新的中心/分支站点。
造成这种情况的原因是嵌入式SSL证书到期,从而阻止了任何新信任点的创建。嵌入式SSL证书实际上充当了名为EJBCA的开源证书颁发机构的根。 当根证书有效时,它可以颁发,更新和撤销用于跨VPN进行身份验证和加密的X.509证书。
当root被取消信任或过期时,您将无法再颁发新证书,并且有可能将链接回过期证书的所有现有证书变为不受信任。尽管后者并没有发生,但无法正确签发证书的问题仍导致大量用户无法创建新的端。
对此,思科表示正在加紧修复中:
APIC-EM版本1.6.3中将提供此问题的修复程序。等不及的客户可以找思科网络工程师将手动补丁应用于受影响的系统。请联系技术支持中心(TAC)以获取有关手动补丁的帮助。
单个证书过期的影响是很大的,一张过期的证书会卸下你大部分的攻击防备。我们总在努力不让证书过期,却从未在发生之前做好准备。这就是为什么,特别是在企业级别,证书可见性和使用适当的工具来管理证书生命周期如此重要的原因。获得一张证书并非难事,但要维护和保持水准却没那么容易。思科的过失正是在提醒企业级SSL证书用户,没有一劳永逸的安全,是该在证书管理上多下功夫了!
稿源:The ssl store
【来自SSL中国:https://www.sslchina.com/cisco-vpn-ssl-expiration/】