Technologie-Warnung: Self-Signed Certificates verfallen bei vielen Cisco IOS-Versionen zum 01.01.2020
06.01.20 / Oliver Flüs
Verwendet man bei Cisco-Komponenten mit bestimmten IOS- oder IOS–XE-Releases „Self-Signed Certificates“ (SSCs), kann man ab 01.01.2020 Probleme bekommen. Dienste, für die man solche Zertifikate und IOS(–XE)-Stände nutzt, werden dann nicht wie gewohnt funktionieren. Ob das vom Hersteller empfohlene Software-Upgrade oder andere von Cisco benannte Workarounds als Lösung gewählt werden: Wer SSCs einsetzt, sollte bald die mögliche Betroffenheit klären und nötigenfalls reagieren.
Problematik
Cisco hat eine Field Notice FN-70489 veröffentlicht. Darin wird auf eine akute Problematik mit „Self-Signed Certificates“ (SSC) hingewiesen, die in nicht ganz aktuellen IOS– bzw. IOS-XE-Software-Ständen generiert wurden. Ein solches Zertifikat wird am 01.01.2020 ungültig. Ist man betroffen und reagiert nicht, drohen Behinderungen im Betrieb der Komponenten, aber auch Störungen.
Unangenehm: Der Herstellerhinweis auf das Problem ist kurzfristig erschienen. Ebenfalls ungünstig: Die Liste der betroffenen Software Releases ist äußerst umfangreich und enthält auch vergleichsweise neue Stände. Die Wahrscheinlichkeit, dass eigene Installationen tatsächlich betroffen sind, ist also hoch, wenn man mit SSCs arbeitet.
Auf einer betroffenen Installation einfach ein neues SSC zu erzeugen und dieses zu verwenden, ist kein gangbarer Lösungsweg. Der Generierungsversuch wird mit einer Fehlermeldung scheitern.
Mögliche negative Auswirkungen
Dienste, für die man derartige SSCs im Zusammenhang mit sicheren Verbindungen einsetzt, werden mit Eintreten des Verfallsdatums 01.01.2020 nicht wie gewohnt funktionieren.
Betroffen sind zum Beispiel HTTPS-Verbindungen, über die auf eine betroffene Komponente zu Management-Zwecken zugegriffen wird, sowie andere Formen sicherer Verbindungen (SSL VPN, IPSec). SIPS ist ebenfalls betroffen. Andere Formen der zertifikatsbasierten Absicherung von Signalisierung bei Telefonie können auch betroffen sein.
Insofern können administrative Zugriffe behindert werden, aber (schlimmer!) auch Störungen eintreten, die auf das SSC-Problem zurückzuführen sind.
Lösungswege und Vorgehensweise
Der Hersteller empfiehlt ein Upgrade auf einen nicht betroffenen Software-Release-Stand, nennt allerdings auch andere Möglichkeiten als „Workaround“, um ein nutzbares Zertifikat zu erzeugen.
Welchen Weg man auch bevorzugt:
Zunächst muss man feststellen, ob eigene Installationen betroffen sind, und welche. Allein dieser Schritt kann schon mit erheblichem Aufwand verbunden sein. Sofern man nicht komplett auf die Verwendung von SSCs verzichtet hat, muss man Komponenten mit betroffenen IOS- bzw. IOS-XE-Release-Ständen lückenlos ausfindig machen. Eine vorhandene, gut gepflegte und leicht durchsuchbare Dokumentation des IT-Bestands wird die Suche erleichtern. Alternativ kann man auf allen Komponenten mit Zertifikaten den Zertifikatszustand prüfen – vorausgesetzt, man kennt die entsprechende Kommando-Sequenz.
Danach folgt die Aufgabe eines kontrollierten Roll-outs des gewählten Lösungswegs – Workaround oder Software-Upgrade gemäß Herstellerempfehlung.
Treten Anfang 2020 unerwartete Probleme im Zusammenhang mit IOS-basierten Installationen auf, sollte man zumindest die SSC-Problematik als mögliche Ursache berücksichtigen.
Außerdem: Wenn man schon einen neuen Weg zur Zertifikatserzeugung und –Verwaltung einschlagen muss, warum dann nicht gleich überlegen, von den SSCs Abstand zu nehmen und zukünftig eine CA zu nutzen? Von Cisco als einer der „Workarounds“ genannt, kann dies ein guter dauerhafter Ansatz sein, sich von vergleichbaren Release-Problemen zukünftig unabhängig zu machen. Dann kann man auch nicht durch extrem kurzfristige Hinweise auf solche Probleme, wie im vorliegenden Fall, kalt erwischt werden.