キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。
New Member

AnyConnectのコードサイン証明書について(sha1による影響)

こんにちは

AnyConnect 3.1.13015で、ユーザーにVPNサービスを提供している者です。

SHA1証明書の扱いについて質問があります。
どなたかご回答いただけますでしょうか。

Windows OSでのsha-1署名による証明書の受け入れ廃止について、以前からアナウンスされています。
私が運用しているASA5540でも、サーバー証明書・中間証明書ともsha-2対応版です。

今回質問したいのは、Windows版のAnyConnect(クライアントアプリケーション)のコードサイン証明書のsha1/sha2対応についてです。
・ユーザーの一部がAnyConnect 3.1.08009を使っているのですが、バージョンアップをするかどうか判断に困っています。
・ASAにロードしているクライアントパッケージが3.1.08009です。こちらのバージョンは関係あるでしょうか。
どなたか、判断の方法をお知らせいただけますでしょうか。

--- 環境 ---
ASA5540 + OS: 9.1.(6.11)
AnyConnect(ASAにインストールするクライアントパッケージ):3.1.08009
AnyConnect(クライアントのWindows PC)                   :3.1.08009 または 3.1.13015


■AnyConnectのリリースノートの記載
3.1系のユーザーの場合は、3.1.13011または、それ以降にバージョンアップすることを強く推奨しています。
ユーザーの一部がAnyConnect 3.1.08009を使っているので、バージョンアップをするかどうか判断しなくてはなりません。

AnyConnectのリリースノートからの抜粋
Due to the code signing changes, the current AnyConnect users must upgrade to 3.1.13011, 4.2.01035, or AnyConnect 4.3 releases
in order to keep their AnyConnect functional on Windows platforms after February 14, 2017
(リリースノートの作成時期によっては、January 1, 2017という記載もあり。
 リリースノートによっては、3.1系の場合、3.1.13015以上にバージョンアップという記載もあり。)

こちらのサポートフォーラムにも、このような文書があります。
「Microsoft社のSHA1証明書の扱いに関するアナウンスについて」( https://supportforums.cisco.com/ja/document/13102396
AnyConnectのリリースノートを引用する形で、AnyConnectのバージョンアップを推奨しています。



■マイクロソフトの文書
以下の文書があります。sha1対応のコードサイン証明書は継続使用しても問題ないでしょうか。

「SHA-1 ウェブサーバー証明書は 2017 年2月から警告!ウェブサイト管理者は影響の最終確認を」
( https://blogs.technet.microsoft.com/jpsecurity/2016/11/25/sha1countdown/ )
→「マイクロソフトSHA-1 証明書利用制限 全体ロードマップ」を見ると、2017/2/14になっても、sha1対応のコード署名証明書は「制限なし」とあります。


「Windows Enforcement of SHA1 Certificates」
( http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-sha1-certificates.aspx )
→Summaryの項を見ると、2017/2/14になっても、"Code Signing Certificates"は"Unaffected"とあります。


■実機での確認
PCのAnyConnectのファイル(vpnagent.exe, vpnui.exeなど)にて証明書情報を確認しましたが、sha2対応のようです。(AnyConnect 3.1.08009、3.1.13015共に)
また、sha1/sha2とは別の問題として、以下の点に気が付きました。(AnyConnect 3.1.08009、3.1.13015共通です。)
・「有効期間の終了」が2016年6月7日 で、既に終了済みのように見えます。
・ただし「拡張エラー情報」をみると失効していないようです。2週間程度ごとに更新しているようです。
今のところ問題なく使用できています。(証明書情報を確認した時の画面コピーを添付しておきます。)


1 件の受理された解決策

受理された解決策
Cisco Employee

マイクロソフト社の情報で

マイクロソフト社の情報で、わかりやすい内容のものがありました。

https://blogs.technet.microsoft.com/jpsecurity/2016/11/25/sha1countdown/

こちらの内容によると、コードサイン証明書については、認識されている通り2月の挙動変更では影響がないようです。

もともと、マイクロソフト社の以下のページには、”Code Signing Certificates: Windows will no longer trust files with the Mark of the Web attribute that are signed with a SHA-1 code signing certificate and are timestamped after 1/1/2016."という記述があり、コードサイン証明書の挙動が変更になることを示唆する発表がなされていたのですが、この内容は現在削除されていました。
マイクロソフト社の対応方針が変更になったようです。

http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-sha1-certificates.aspx

AnyConnectとしては、古い内容をもとにSHA2証明書への移行対応を行ったのだと思われますが、前述の通り現状の状況としてはコードサイン証明書については影響が無いということになっているようですので、特に対応は不要となります。

前述のマイクロソフト社の資料の内容より、最終的にSHA1廃止の影響については、マイクロソフト社のルート証明書プログラムに参加するCA局が発行したサーバ証明書のみが対象になるようです。

2 件の返信
Cisco Employee

マイクロソフト社の情報で

マイクロソフト社の情報で、わかりやすい内容のものがありました。

https://blogs.technet.microsoft.com/jpsecurity/2016/11/25/sha1countdown/

こちらの内容によると、コードサイン証明書については、認識されている通り2月の挙動変更では影響がないようです。

もともと、マイクロソフト社の以下のページには、”Code Signing Certificates: Windows will no longer trust files with the Mark of the Web attribute that are signed with a SHA-1 code signing certificate and are timestamped after 1/1/2016."という記述があり、コードサイン証明書の挙動が変更になることを示唆する発表がなされていたのですが、この内容は現在削除されていました。
マイクロソフト社の対応方針が変更になったようです。

http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-sha1-certificates.aspx

AnyConnectとしては、古い内容をもとにSHA2証明書への移行対応を行ったのだと思われますが、前述の通り現状の状況としてはコードサイン証明書については影響が無いということになっているようですので、特に対応は不要となります。

前述のマイクロソフト社の資料の内容より、最終的にSHA1廃止の影響については、マイクロソフト社のルート証明書プログラムに参加するCA局が発行したサーバ証明書のみが対象になるようです。

New Member

aktosa様

aktosa様

お世話になっております。
athirano1です。

ご回答ありがとうございました。
現状はsha1証明書のAnyConnectで問題ないということで、安心しました。

今後は、計画を立てて、既存ユーザーをsha2証明書のAnyConnectに移行させるようにしたいと思います。
ありがとうございました。

101
閲覧回数
0
いいね!
2
返信