Fin de période de validité pour les certificats auto-signés dans les logiciels Cisco IOS et Cisco IOS XE

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 4896
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Fin de période de validité pour les certificats auto-signés dans les logiciels Cisco IOS et Cisco IOS XE

Message par charles » 26 déc. 2019 09:02

Bulletin d’actualité CERTFR-2019-ACT-013 :

Le 17 décembre 2019, Cisco a émis un avis concernant l’utilisation de certificats x509 par leurs solutions logiciels Cisco IOS et IOS XE.

Jusqu’à présent, les produits Cisco permettent de générer des certificats x509 sans recourir à une infrastructure de gestion de clé (IGC), on parle alors de certificat x509 auto-signé. Cette méthode de génération de certificat n’est pas recommandée puisqu’elle empêche tout contrôle d’authenticité du certificat, cependant elle reste encore utilisée dans différents contextes de production.

Cisco alerte sur le fait que les certificats auto-signés générés par ces solutions sont paramétrés avec une date de fin de validité au 1er janvier 2020 sans qu’il soit possible de la modifier. Il ne sera donc pas possible de renouveler ces certificats auto-signés après le 1er janvier 2020. En effet, une telle tentative résultera en un message d’erreur :

Code : Tout sélectionner

../cert-c/source/certobj.c(535) : E_VALIDITY : validity period start later than end
Recommandations :

Il est fortement recommandé d’opérer une transition vers une gestion de certificats en faisant appel à une IGC interne ou commerciale, de manière à respecter les bonnes pratiques. Cependant, une telle transition demande du temps de préparation, des solutions temporaires sont donc à envisager.

1. Regénérer des certificats auto-signés sur les équipements ayant été mis à jour (ces versions sont disponibles depuis plus de 3 mois) :
Cisco IOS XE versions 16.9.1 et ultérieures ;
Cisco IOS versions 15.6(3)M7 et ultérieures, versions 15.7(3)M5 et ultérieures ainsi que versions 15.8(3)M03 et ultérieures.

2. Pour les équipements qui n’auraient pas été mis à jour avant le 1er janvier 2020, utiliser la fonction IOS CA server lorsqu’elle est disponible.

3. Le troisième contournement proposé par Cisco consiste à utiliser OpenSSL pour générer des bi-clés et des certificats, puis à les importer dans les équipements Cisco. Le CERT-FR souhaite cependant rappeler que cette solution doit être envisagée dans des conditions de sécurité garantissant la confidentialité et l’intégrité des clés ainsi générées. Il convient en effet de s’assurer que pour toutes les étapes de la génération, la configuration choisie permet de protéger les composants temporaires mis en œuvre.

Source : https://www.cert.ssi.gouv.fr/actualite/ ... 9-ACT-013/

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »