Замена SSL-сертификатов SHA1
Поскольку Microsoft прекратила использование сертификатов SHA1 прошлым летом, а теперь заблокировала их в начале этого года, сертификаты TLS, подписанные алгоритмом хеширования SHA1, больше не являются безопасными или не поддерживаются, и их следует удалить и заменить как можно скорее. Однако вопрос в том, чем вы должны заменить свои сертификаты SHA1 и как вы на самом деле их заменяете? Потому что, если вы не замените их, ваши веб-серверы HTTPS будут предлагать клиентам небезопасную версию SSL, что означает, что любая конфиденциальная личная или деловая информация, которую они отправляют на ваши веб-сайты, может быть скомпрометирована. Чтобы помочь нам понять природу проблемы и то, как вы можете решить ее, я попросил Эндрю Перчалука, старшего системного администратора Университета Манитобы в Виннипеге, Канада, поделиться с нами некоторыми соображениями и советами, основанными на его собственном опыте управления активными приложениями. Среды каталогов. Эндрю — муж, отец и любитель собак, который работает в сфере информационных технологий почти 20 лет и любит делиться своим опытом с другими профессионалами в области ИТ. Для получения дополнительной информации об Эндрю см. его профиль LinkedIn. Вы также можете следить за ним в Twitter. Давайте теперь послушаем, что Андрей должен сказать по этой теме.
Что такое ША?
SHA, расшифровывается как Secure Hash Algorithm, представляет собой криптографический алгоритм хэширования, используемый для определения целостности определенного фрагмента данных. Эти алгоритмы часто используются центрами сертификации SSL для подписи сертификатов, и это гарантирует, что данные вашего веб-сайта никогда не будут подделаны. Дополнительную информацию о SHA1 можно найти в этой статье Википедии:
https://en.wikipedia.org/wiki/SHA-1
SHA1 против SHA256
По сути, SHA1 меньше (160 бит) по сравнению с SHA256, который составляет 256 бит, поэтому из-за этого он более подвержен атаке столкновений. Ниже приведены просто примеры хэшей, чтобы попытаться проиллюстрировать различия.
Взламывался ли когда-нибудь SHA1 с помощью атаки столкновений?
Да! В феврале 2017 года исследователи из Google смогли успешно взломать SHA1 с помощью атаки столкновений, как описано здесь в блоге безопасности Google:
https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
Вот некоторые цифры, которые дают представление о том, насколько масштабными были эти вычислительные усилия:
Мораль истории: замените свои сертификаты SHA1 на SHA256 или SHA3.
Из-за политики раскрытия уязвимостей Google они выпустят свой код через 90 дней после объявления (середина мая 2017 года). Маловероятно, что у вас есть какие-либо общедоступные службы, использующие сертификаты SHA1, но если вы это сделаете, вам следует сначала заменить их. Также само собой разумеется, если у вас есть какие-либо инструменты управления, доступные только с использованием HTTP, вам следует рассмотреть возможность использования сертификата, поскольку HTTP гораздо менее безопасен, чем использование SSL-сертификата SHA1. В следующих разделах описываются некоторые области, которые вы должны проверить в своей инфраструктуре.
Публичные сертификаты
Если у вас есть лицензия на сайт или вы используете одного и того же провайдера для SSL-сертификатов (например, GlobalSign, VeriSign, Thawte и т. д.), вы обычно можете войти на их портал и получить отчет о назначенных сертификатах. Многие из этих провайдеров также предлагают бесплатные сканеры, с помощью которых вы можете зайти на свой веб-сайт и нажать «Сканировать», после чего они дадут вам обратную связь, показывающую, работает ли ваш домен с SHA1. Один такой сканер доступен на Digicert здесь:
https://www.digicert.com/sha1-sunset/
Найдите любые выдающиеся SSL-сертификаты SHA1 и замените или обновите их.
Службы сертификатов Active Directory
Если вы используете службы сертификации Active Directory, обязательно обновите их с SHA1 до SHA256. Проверьте свойства вашего ЦС и, если он использует SHA1, выполните следующие шаги для обновления, поскольку эти шаги не отзывают старые сертификаты, это должно иметь довольно небольшое влияние:
- В PowerShell, работающем от имени администратора, выполните следующую команду: certutil -setreg cacspCNGHashAlgorithm SHA256.
- Перезапустите службы сертификации следующим образом: net stop certsvcnet startcertsvc
- Создайте новый сертификат ЦС следующим образом: В свойствах вашего корневого ЦС перейдите в раздел «Все задачи», затем выберите «Обновить сертификат ЦС», затем нажмите «Да», когда будет предложено выбрать службы сертификатов AD, и нажмите «Нет», когда вас спросят о создании нового ключа подписи.
После завершения этой процедуры новые SSL-сертификаты SHA256 начнут распространяться в вашей среде по мере автоматического обновления. Обратите внимание, что я видел проблему, когда нам приходилось импортировать новый сертификат CA SHA256 в промежуточную и корневую папки наших серверов SCCM из-за всплывающей ошибки цепочки, так что имейте это в виду.
Самоподписанные сертификаты интерфейса управления
Многие технологии, которыми мы управляем, предлагают зашифрованные утилиты управления HTTPS. Однако, в зависимости от того, как долго у вас есть устройства, вы можете дважды проверить, используют ли они самозаверяющие сертификаты SHA1, и обновить их по мере необходимости. Некоторые общие вещи для проверки:
1) Инструменты внешнего управления сервером, такие как:
- Удаленный доступ Dell
- Встроенная подсветка HP
2) Управление балансировщиком нагрузки для таких продуктов, как F5, Kemp и так далее.
3) Устройства гигиены электронной почты для таких продуктов, как Cisco IronPort или Barracuda.
4) VMware VCenter — см. статью базы знаний VMware под названием «Замена сертификатов по умолчанию сертификатами SSL, подписанными центром сертификации, в vSphere 6.x (2111219)», которую можно найти по адресу
https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2111219
5) Управление межсетевым экраном для продуктов таких компаний, как Cisco, Palo Alto или CheckPoint.
6) Системы резервного копирования
7) IPAM-решения, такие как InfoBlox или BlueCat.
О проблемах с такими инструментами управления можно узнать с помощью предупреждений безопасности браузера, подобных этому снимку экрана, сделанному с помощью веб-браузера Google Chrome:
или наличием SHA1 в качестве алгоритма хеширования, который использовался для подписи сертификата, используемого веб-сайтом:
Вывод
Это некоторые из основных областей, в которых вы можете найти SSL-сертификаты SHA1, которые вам нужно будет обновить, удачи вам в очистке!
Дополнительные ресурсы
Дополнительную помощь можно получить, разместив свои вопросы на форуме TechNet по безопасности Windows Server, который можно найти здесь: https://social.technet.microsoft.com/Forums/windowsserver/en-US/home?forum=winserversecurity
Еще одним хорошим ресурсом является этот форум по безопасности IIS, на котором есть ряд сообщений, связанных с SHA: https://forums.iis.net/1043.aspx/1?Security.