2017年1月, SHA1 憑證停用說明
(Forcepoint AP-WEB) 關於 SSL 憑證終止較低階 SHA1 簽章之憑證因應說明
文章編號: Forcepoint 0000106
適用產品: AP-WEB, Web_Security_Gateway (WSG), Web_Security_Gateway_Anywhere (WSGA)
適用產品版本: v70,v71,v72,v73,v75,v76,v77,v78,v80,v81,v82
問題描述:
當環境中是使用 WCG 內建的 Root Certificates (Root CA 根憑證授權) 並啟用 HTTPS 解密功能的話,使用者在訪問 SSL 的網站時會被瀏覽器提示憑證安全問題警告。
問題說明:
隨著 Google 開了第一槍,公告預計於 2017 年一月份起,於自家瀏覽器將開始標示並警告使用 SHA1 不安全的憑證之後,各家瀏覽器業者也持續跟進。
詳情可以參考這則部落格貼文
解決方法:
- 當客戶自行產生的 CA 憑證
請透過既有的 Root CA 重新建立 SHA256 等級的憑證。
關於 Forcepoint 的各產品線如何導入新的 SSL 憑證,可以參考這份文件
- 當使用 WCG 內建的 Root CA
Appliance
1) 更新演算法
參考知識庫文章: Dynamic Certs with a SHA-2 Algorithm rather than SHA-1
2) 重新建立 Internal Root CA
Login to the CG Manager
Go to Configure > SSL > Internal Root CA > Create Root CA
Complete required fields
Click on Generate and Deploy the Certificate
3) 佈署新生成的 Internal Root CA
參考知識庫文章: KBA Publish WCG Internal root CA in Microsoft AD using GPO
Software
1) 更新演算法
Log into the CG machine with SSH
Run the following commands as root:
/opt/WCG/bin/content_line -s proxy.config.ssl.cas_server.pki_ca_digest -v SHA256
/opt/WCG/bin/content_line –x
/opt/WCG/bin/content_line -y
2) As per Appliance
3) As per Appliance
參考資料:
1. 微軟 Windows Enforcement of SHA1 Certificate
2. Forcepoint Browser is rejecting certificate for website when using the WCG
