简介
本文档介绍有关2017年4月思科受信任根捆绑包的更新及其对思科网络安全设备(WSA)影响的详细信息。
背景信息
努力将产品的安全性保持在最高水平;思科加密服务团队很高兴地宣布思科受信任的根捆绑包的下一版本发布。此更改将对WSA产生影响。捆绑包将在所有支持的Cisco AsyncOS for Web版本上自动更新,并且WSA管理员不需要执行任何操作。
更新说明
这些捆绑包反映了截至2016年11月源自上游受信任根存储的捆绑包的最新更新。
要注意的思科受信任根捆绑包最重要的更改:
- 根据主要信任商店(Google、Apple、Mozilla)删除它们的决定,新的Cisco信任根捆绑包不再包含来自WoSign/StartCom的根。如果他们重新向上游根商店提交新根,我们将重新考虑从信任捆绑包中删除这些根的决定。
- 新的思科根CA 2099已添加到所有捆绑包,以支持新的ACT2芯片组。
- 在核心捆绑包中,旧的VeriSign根已替换为正确链接VeriSign mPKI证书的较新根。
- DST根CA X1仅从核心捆绑包中删除,因为思科不再从此链中发出根。
这对WSA用户意味着什么?
- Cisco WSA下载使用我们的更新流程的新根证书捆绑包。WSA管理员无需执行任何操作。
- 如果WSA配置为使用解密,则对于具有WoSign/StartCom签名的SSL证书的站点的请求将默认被WSA丢弃,因为更新后WSA将不信任此供应商的根CA证书。
- 或者,WSA将应用在HTTPS Proxy > Invalid Certificate Handling > Unrecognized Root Authority / Issuer中配置的操作。此操作默认为DROP,思科建议不要更改默认的Unrecognized Root Authority操作。
反馈