소개
이 문서에서는 Cisco Trusted Root Bundles의 2017년 4월 업데이트 및 Cisco WSA(Web Security Appliance)에 미치는 영향에 대해 자세히 설명합니다.
배경 정보
Cisco 제품의 보안을 최고 수준으로 유지하기 위해 Cisco Cryptographic Services 팀은 Cisco Trusted Root Bundles의 다음 반복을 발표하게 되어 기쁘게 생각합니다. 이러한 변경은 WSA에 영향을 미칩니다. 번들은 지원되는 모든 버전의 Cisco AsyncOS for Web에서 자동으로 업데이트되며 WSA 관리자에게는 별도의 작업이 필요하지 않습니다.
업데이트 설명
이러한 번들은 2016년 11월 기준 업스트림의 신뢰할 수 있는 루트 저장소에서 파생된 번들에 대한 최신 업데이트를 반영합니다.
Cisco Trusted Root Bundles에 대한 가장 중요한 변경 사항은 다음과 같습니다.
- 주요 트러스트 스토어(Google, Apple, Mozilla)의 제거 결정에 따라 새로운 Cisco 트러스트된 루트 번들에는 더 이상 WoSign/StartCom의 루트가 포함되지 않습니다. 새 루트를 업스트림 루트 저장소에 다시 제출하는 경우 트러스트 번들에서 해당 루트를 제거하는 결정을 다시 살펴봅니다.
- 새로운 Cisco Root CA 2099는 새로운 ACT2 칩셋을 지원하기 위해 모든 번들에 추가되었습니다.
- 기존 VeriSign 루트가 Core 번들에서 VeriSign mPKI 인증서를 제대로 체이닝하는 최신 루트로 교체되었습니다.
- DST Root CA X1은 Cisco에서 더 이상 이 체인에서 루트를 발행하지 않으므로 코어 번들만(Core bundle)에서 제거되었습니다.
이는 WSA 사용자에게 어떤 의미가 있습니까?
- Cisco WSA는 업데이트 프로세스를 사용하는 새로운 루트 인증서 번들을 다운로드합니다. WSA 관리자의 조치는 필요하지 않습니다.
- WSA가 암호 해독을 사용하도록 구성된 경우, WoSign/StartCom에서 서명한 SSL 인증서가 있는 사이트에 대한 요청은 기본적으로 WSA에서 삭제되며, 이 공급업체의 루트 CA 인증서는 업데이트 후 WSA에서 신뢰하지 않습니다.
- 또는 WSA는 HTTPS Proxy(HTTPS 프록시) > Invalid Certificate Handling(유효하지 않은 인증서 처리) > Unrecognized Root Authority /Issuer(인식할 수 없는 루트 기관/발급자)에서 구성된 작업을 적용합니다. 이 작업은 기본적으로 DROP이며, Cisco에서는 기본 알 수 없는 루트 권한 작업을 변경하지 않는 것이 좋습니다.