簡介
本檔案將詳細介紹2017年4月思科受信任的根捆綁包的更新及其對思科網路安全裝置(WSA)的影響。
背景資訊
力求將產品安全保持在最高水準;思科加密服務團隊很高興地宣佈下一代Cisco Trusted Root Bundles的發佈。此更改將對WSA產生影響。捆綁包將在所有支援的Cisco AsyncOS for Web版本上自動更新,並且WSA管理員不需要執行任何操作。
更新描述
這些捆綁包反映了截至2016年11月來自上游受信任的根儲存的最新捆綁包更新。
要注意的思科受信任的根捆綁包最重要的更改:
- 根據主要信任商店(Google、Apple、Mozilla)移除它們的決定,新的思科信任根捆綁包不再包含來自WoSign/StartCom的根。如果他們重新向上游根商店提交新根,我們將重新考慮從信任捆綁包中刪除這些根的決定。
- 新的思科根CA 2099已新增到所有捆綁包中,以支援新的ACT2晶片集。
- 舊的VeriSign根目錄已被核心套件組合中的較新根目錄替換,該根目錄可正確連結VeriSign mPKI證書。
- DST根CA X1僅從核心捆綁包中移除,因為思科不再從該鏈中發出根。
對於WSA使用者意味著什麼?
- Cisco WSA下載使用我們的更新流程的新根證書捆綁包。WSA管理員無需執行任何操作。
- 如果將WSA配置為使用解密,則對具有WoSign/StartCom簽名的SSL證書的站點的請求將預設被WSA丟棄,因為更新後WSA將不信任此供應商的根CA證書。
- 或者,WSA將應用在HTTPS Proxy > Invalid Certificate Handling > Unrecognized Root Authority / Issuer中配置的操作。預設情況下,此操作為DROP,思科建議不要更改預設的Unrecognized Root Authority操作。
意見