Java Update dwingt CRL-controles standaard af die NSP- en gastenstromen voorkomen

Downloadopties

  • PDF     (312.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (145.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (100.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:7 augustus 2013
Document-id:116444

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft een probleem dat is opgetreden bij de laatste Java-update om de provisioning van applicaties en bepaalde gaststromen te onderbreken die gebruik maken van toegangscontrolelijsten (ACL’s) en omleiding.

Achtergrondinformatie

De fout staat in CiscoSPWDodownloadFacilitator en wordt als volgt gelezen: "Kan certificaat niet valideren. De applicatie zal niet uitgevoerd worden."

Als u op Meer informatie klikt, ontvangt u uitvoer met klachten over de certificaatintrekkingslijst (CRL).

java.security.cert.CertificateException: java.security.cert.
CertPathValidatorException: java.io.IOException: DerInputStream.getLength(): 
lengthTag=127, too big.
	at com.sun.deploy.security.RevocationChecker.checkOCSP(Unknown Source)
	at com.sun.deploy.security.RevocationChecker.check(Unknown Source)
	at com.sun.deploy.security.TrustDecider.checkRevocationStatus(Unknown Source)
	at com.sun.deploy.security.TrustDecider.getValidationState(Unknown Source)
	at com.sun.deploy.security.TrustDecider.validateChain(Unknown Source)
	at com.sun.deploy.security.TrustDecider.isAllPermissionGranted(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.isTrustedByTrustDecider
        (Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.getTrustedCodeSources(Unknown Source)
	at com.sun.deploy.security.CPCallbackHandler$ParentCallback.strategy
        (Unknown Source)
	at com.sun.deploy.security.CPCallbackHandler$ParentCallback.openClassPathElement
        (Unknown Source)
	at com.sun.deploy.security.DeployURLClassPath$JarLoader.getJarFile
        (Unknown Source)
	at com.sun.deploy.security.DeployURLClassPath$JarLoader.access$1000
        (Unknown Source)
	at com.sun.deploy.security.DeployURLClassPath$JarLoader$1.run(Unknown Source)
	at java.security.AccessController.doPrivileged(Native Method)
	at com.sun.deploy.security.DeployURLClassPath$JarLoader.ensureOpen
        (Unknown Source)
	at com.sun.deploy.security.DeployURLClassPath$JarLoader.<init>(Unknown Source)
	at com.sun.deploy.security.DeployURLClassPath$3.run(Unknown Source)
	at java.security.AccessController.doPrivileged(Native Method)
	at com.sun.deploy.security.DeployURLClassPath.getLoader(Unknown Source)
	at com.sun.deploy.security.DeployURLClassPath.getLoader(Unknown Source)
	at com.sun.deploy.security.DeployURLClassPath.getResource(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader$2.run(Unknown Source)
	at java.security.AccessController.doPrivileged(Native Method)
	at sun.plugin2.applet.Plugin2ClassLoader.findClassHelper(Unknown Source)
	at sun.plugin2.applet.Applet2ClassLoader.findClass(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.loadClass0(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.loadClass0(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Unknown Source)
	at java.lang.ClassLoader.loadClass(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.loadCode(Unknown Source)
	at sun.plugin2.applet.Plugin2Manager.initAppletAdapter(Unknown Source)
	at sun.plugin2.applet.Plugin2Manager$AppletExecutionRunnable.run(Unknown Source)
	at java.lang.Thread.run(Unknown Source)
	Suppressed: com.sun.deploy.security.RevocationChecker$StatusUnknownException
		at com.sun.deploy.security.RevocationChecker.checkCRLs(Unknown Source)
		... 34 more
Caused by: java.security.cert.CertPathValidatorException: 
java.io.IOException: DerInputStream.getLength(): lengthTag=127, too big.
	at sun.security.provider.certpath.OCSP.check(Unknown Source)
	at sun.security.provider.certpath.OCSP.check(Unknown Source)
	at sun.security.provider.certpath.OCSP.check(Unknown Source)
	... 35 more
Caused by: java.io.IOException: DerInputStream.getLength(): lengthTag=127, too big.
	at sun.security.util.DerInputStream.getLength(Unknown Source)
	at sun.security.util.DerValue.init(Unknown Source)
	at sun.security.util.DerValue.<init>(Unknown Source)
	at sun.security.provider.certpath.OCSPResponse.<init>(Unknown Source)
	... 38 more

Probleem

In de nieuwste versie van Java (Versie 7, Update 25 - uitgebracht op 5 augustus 2013), introduceerde Oracle een nieuwe standaardinstelling die de client dwingt om het certificaat te valideren dat gekoppeld is aan een applet tegen een CRL of Online Certificate Status Protocol (OCSP).

Het ondertekeningscertificaat dat Cisco koppelt aan deze applets heeft een CRL en OCSP in de lijst met Thawte. Wegens deze nieuwe verandering, wanneer de cliënt van Java om uit aan Thawte probeert te bereiken, wordt het geblokkeerd door of een haven ACL en/of opnieuw richt ACL.

Het probleem wordt getraceerd onder Cisco-fout-id CSC46739.

Oplossing

Optie 1 - Side Fix voor Switch of draadloze controller

  1. Herschrijf om het even welke redirect of op haven-gebaseerde ACLs om verkeer toe te staan om te ontdooien en Verisign. Helaas is een beperking bij deze optie dat ACL’s niet kunnen worden gemaakt met domeinnamen.
  2. Los de CRL-lijst handmatig op en plaats deze in de doorverwijzing ACL.

Opmerking: mogelijk moeten de firewallregels worden bijgewerkt als de client via een firewall moet communiceren.

[user@user-linux logs]$ nslookup
> crl.thawte.com
Server:         64.102.6.247
Address:        64.102.6.247#53

Non-authoritative answer:
crl.thawte.com  canonical name = crl.ws.symantec.com.edgekey.net.
crl.ws.symantec.com.edgekey.net canonical name = e6845.ce.akamaiedge.net.
Name:   e6845.ce.akamaiedge.net
Address: 23.5.245.163

> ocsp.thawte.com
Server:         64.102.6.247
Address:        64.102.6.247#53

Non-authoritative answer:
ocsp.thawte.com canonical name = ocsp.verisign.net.
Name:   ocsp.verisign.net
Address: 199.7.48.72

Als deze DNS namen veranderen en de cliënten iets anders oplossen, herschrijf de omleiden URL met de bijgewerkte adressen.

Voorbeeld omleiding ACL:

     5 remark ISE IP address
    10 deny ip any host X.X.X.X (467 matches)
    15 remark crl.thawte.com
    20 deny ip any host 23.5.245.163 (22 matches)
    25 remark ocsp.thawte.com
    30 deny ip any host 199.7.52.72
    40 deny udp any any eq domain (10 matches)
    50 permit tcp any any eq www (92 matches)
    60 permit tcp any any eq 443 (58 matches)

Uit testen is gebleken dat de OSCP- en CRL-URL’s tot deze IP-adressen leiden:

OCSP
199.7.48.72
199.7.51.72
199.7.52.72
199.7.55.72
199.7.54.72
199.7.57.72
199.7.59.72


CRL
23.4.53.163
23.5.245.163
23.13.165.163
23.60.133.163
23.61.69.163
23.61.181.163

Dit kan geen volledige lijst zijn en kan veranderen op basis van geografie, dus het testen is vereist om te ontdekken welke IP-adres(sen) de hosts in elke instantie oplossen.

Optie 2 - Optie voor oplossing aan clientzijde

In de sectie Geavanceerd van het Java Control Panel voert u certificaatherroepingscontroles uit om het certificaat niet te controleren (niet aanbevolen).

   OSX: Systeemvoorkeuren > Java
           Geavanceerd
           Certificaatintrekking uitvoeren met: Wijzigen in 'Niet controleren (niet aanbevolen)'

   Windows: Configuratiescherm > Java
           Geavanceerd
           Certificaatintrekking uitvoeren met: Wijzigen in 'Niet controleren (niet aanbevolen)'

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
05-Aug-2013
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Sam Hertica, Jesse Dubois, and John Newman
    Cisco TAC Engineers.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten