2017年1月, SHA1 凭证停用说明
(Forcepoint AP-WEB) 关于 SSL 凭证终止较低阶 SHA1 签章之凭证因应说明
文章编号: Forcepoint 0000106
适用产品: AP-WEB, Web_Security_Gateway (WSG), Web_Security_Gateway_Anywhere (WSGA)
适用产品版本: v70,v71,v72,v73,v75,v76,v77,v78,v80,v81,v82
问题描述:
当环境中是使用 WCG 内建的 Root Certificates (Root CA 根凭证授权) 并启用 HTTPS 解密功能的话,使用者在访问 SSL 的网站时会被浏览器提示凭证安全问题警告。
问题说明:
随著 Google 开了第一枪,公告预计于 2017 年一月份起,于自家浏览器将开始标示并警告使用 SHA1 不安全的凭证之后,各家浏览器业者也持续跟进。
详情可以参考这则部落格贴文
解决方法:
- 当客户自行产生的 CA 凭证
请透过既有的 Root CA 重新建立 SHA256 等级的凭证。
关于 Forcepoint 的各产品线如何导入新的 SSL 凭证,可以参考这份文件
- 当使用 WCG 内建的 Root CA
Appliance
1) 更新演算法
参考知识库文章: Dynamic Certs with a SHA-2 Algorithm rather than SHA-1
2) 重新建立 Internal Root CA
Login to the CG Manager
Go to Configure > SSL > Internal Root CA > Create Root CA
Complete required fields
Click on Generate and Deploy the Certificate
3) 布署新生成的 Internal Root CA
参考知识库文章: KBA Publish WCG Internal root CA in Microsoft AD using GPO
Software
1) 更新演算法
Log into the CG machine with SSH
Run the following commands as root:
/opt/WCG/bin/content_line -s proxy.config.ssl.cas_server.pki_ca_digest -v SHA256
/opt/WCG/bin/content_line –x
/opt/WCG/bin/content_line -y
2) As per Appliance
3) As per Appliance
参考资料:
1. 微软 Windows Enforcement of SHA1 Certificate
2. Forcepoint Browser is rejecting certificate for website when using the WCG
