Cisco waarschuwt voor verlopen van zelf gesigneerde certificaten op 1-1-2020
Het verlopen van zelf gesigneerde certificaten die op Cisco-apparatuur zijn gegenereerd kan op 1 januari 2020 voor allerlei problemen zorgen, zo waarschuwt de netwerkgigant. Alle X.509 PKI-certificaten die op een groot aantal Cisco-apparaten door gebruikers zijn gegenereerd zullen namelijk op deze datum verlopen.
Zodra de certificaten zijn verlopen zal het vervolgens niet meer mogelijk zijn om nieuwe zelf gesigneerde certificaten te genereren. Diensten die van deze certificaten gebruikmaken voor het opzetten van een beveiligde verbinding zullen dan niet meer werken. Het gaat dan bijvoorbeeld om het inloggen op ssh-servers, het gebruik van HTTP Server over TLS en RESTCONF waar problemen kunnen ontstaan. Ook de communicatie- telefoniediensten van Cisco kunnen stoppen met werken.
Gebruikers kunnen vervolgens foutmeldingen in hun browsers te zien krijgen, geen ipsec-verbinding kunnen opzetten, niet meer kunnen bellen en API-calls zullen mislukken. Volgens securitybedrijf Rapid7 zijn er meer dan 80.000 Cisco-apparaten op internet te vinden die met het probleem te maken zullen krijgen. Dit is volgens het bedrijf het topje van de ijsberg, omdat bij veel organisaties de remote interfaces van hun Cisco-routers en -switches niet toegankelijk vanaf het internet zijn. "De interne blootstelling aan dit probleem zal waarschijnlijk vele malen groter zijn", zegt Bob Rudis van Rapid7.
Om het probleem te verhelpen moeten organisaties de IOS-software van hun Cisco-apparatuur updaten en daarna opnieuw een zelf gesigneerd certificaat genereren en dat uitrollen onder alle gebruikers en apparaten die hiervan gebruikmaken. Een andere oplossing is het installeren van een certificaat dat door een certificaatautoriteit is uitgegeven.
de klanten, die al 4 keer teveel betalen voor de hardware en dan ook nog een supportcontract moeten afsluiten om
software updates te mogen ontvangen, zullen wel hardstikke blij zijn met dit bedrijf!
voortaan toch maar Huawei nemen?
TheYOSH
Het eigenlijke probleem is deze (uit de cisco link):
Affected releases of Cisco IOS and Cisco IOS XE software will always set the expiration date of the self-signed certificate to 2020-01-01 00:00:00 UTC. After this date, the certificate expires and is invalid.
Ofwel: 1 januari 2020 is hardcoded. Ook nieuwe certs zullen die datum mee krijgen en gelijk verlopen zijn.
Nou is het op zich niet heel spannend om zelf een x509 certificaat te genereren (op een ander device dus!), maar dat gaat wellicht wel wat te ver voor kleine bedrijven.
Zo moet dat nieuwe certificaat niet alleen worden toegepast op $device, maar ook op $clients. Aan de andere kant geldt dat natuurlijk sowieso, ook bij apparaten die wél de update krijgen...
Bij de eerste ingebruikname van het apparaat wist je de verloopdatum al. Cisco verteld dus niets nieuws aan hun klanten. (-:
Erger is wat Anoniem 11:39 schrift. Als je via de software een nieuw certificaat genereert, heeft dat altijd dezelfde einddatum. Eigenlijk een vreemde bug, omdat je normaal de geldigheidsduur van een certificaat opgeeft en nooit de einddatum zelf.
Ook voor een klein bedrijf moet dat simpel zijn. Het kan met drie 'openssl' coderegels.
openssl req -new -out public.crt -key private.key -config openssl.cnf
openssl x509 -req -sha256 -days 3650 -in public.crt -signkey private.key -out public.crt -extensions v3_req -extfile openssl.cnf
Het probleem zal er meer inzitten om dit op je device te krijgen.
Ook voor een klein bedrijf moet dat simpel zijn. Het kan met drie 'openssl' coderegels.
Ik wil ook in jouw bubbel werken , waar mensen die op de cli openssl gebruiken standaard zijn.
Of bedoel je 'in mijn eenmanszaak kan iedereen dit' ? Ja , ik kan dit ook. Maar ik heb genoeg rondgekeken om niet te denken dat iedereen die "iets van IT doet" het ook makkelijk doet. "IT" is bij veel kleinere bedrijven een paar KA werkplekken, en de router is ooit door een reseller neergezet en doet het gewoon. De "IT" beheerder blijft er verder af, of doet niks meer dan wel eens een poortje in een Vlan zetten.
[..]
Het probleem zal er meer inzitten om dit op je device te krijgen.
Hoe te installeren staat allemaal in de link naar de cisco site. Zowel het installeren, als diverse opties om een certificaat te maken, waaronde gebruik van openssl. Het gewenste formaat is overigens een pkcs12 bundel.
Bij de eerste ingebruikname van het apparaat wist je de verloopdatum al. Cisco verteld dus niets nieuws aan hun klanten. (-:
Hoe dan? Stond er op de doos, in de handleiding, op het scherm of elders een melding "let op, dit apparaat werkt
maar tot 1-1-2020"?
En wanneer was dat? In 2010 of was het mogelijk vrij recent dat mensen dit apparaat gekocht en geconfigureerd hebben?
En vind je het ook niet wat bot van Cisco om hier pas op 17 december 2019 een bulletin over uit te brengen?
Bij de eerste ingebruikname van het apparaat wist je de verloopdatum al. Cisco verteld dus niets nieuws aan hun klanten. (-:
Erger is wat Anoniem 11:39 schrift. Als je via de software een nieuw certificaat genereert, heeft dat altijd dezelfde einddatum. Eigenlijk een vreemde bug, omdat je normaal de geldigheidsduur van een certificaat opgeeft en nooit de einddatum zelf.
Ook voor een klein bedrijf moet dat simpel zijn. Het kan met drie 'openssl' coderegels.
openssl req -new -out public.crt -key private.key -config openssl.cnf
openssl x509 -req -sha256 -days 3650 -in public.crt -signkey private.key -out public.crt -extensions v3_req -extfile openssl.cnf
Het probleem zal er meer inzitten om dit op je device te krijgen.
Heel simpel .... ;)
Generating RSA private key, 2048 bit long modulus (2 primes)
............................+++++
.............................+++++
e is 65537 (0x010001)
Can't open openssl.cnf for reading, No such file or directory
1996177424:error:02001002:system library:fopen:No such file or directory:../crypto/bio/bss_file.c:69:fopen('openssl.cnf','r')
1996177424:error:2006D080:BIO routines:BIO_new_file:no such file:../crypto/bio/bss_file.c:76:
unable to find 'distinguished_name' in config
problems making Certificate Request
1996177424:error:0E06D06A:configuration file routines:NCONF_get_string:no conf or environment variable:../crypto/conf/conf_lib.c:270:
Can't open openssl.cnf for reading, No such file or directory
1996058640:error:02001002:system library:fopen:No such file or directory:../crypto/bio/bss_file.c:69:fopen('openssl.cnf','r')
1996058640:error:2006D080:BIO routines:BIO_new_file:no such file:../crypto/bio/bss_file.c:76:
Stop daar. Als je dat gebruikt is het gewoon vragen om problemen.
de klanten, die al 4 keer teveel betalen voor de hardware en dan ook nog een supportcontract moeten afsluiten om
software updates te mogen ontvangen, zullen wel hardstikke blij zijn met dit bedrijf!
voortaan toch maar Huawei nemen?
:D inderdaad, US backdoors of CN backdoors wat maakt het uit
Stop daar. Als je dat gebruikt is het gewoon vragen om problemen.
Hahahaha wat is dat voor een opmerking! Gebruik jij dan echt certificates van Letsencrypt voor je intra server communicatie voor provisioning etc etc? Buiten dat, vind maar eens een certificate organisatie die .local signed, volgens mij bestaan die niet eens. Je begrijpt toch wel dat de amerikanen dan al je verkeer kunnen decrypten zonder dat je het door hebt?
Elk beetje seriues bedrijf gebruikt self signed certificates. Dus terug naar school jij!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.