Problematik 

Cisco hat eine Field Notice FN-70489 veröffentlicht. Darin wird auf eine akute Problematik mit „Self-Signed Certificates“ (SSC) hingewiesen, die in nicht ganz aktuellen IOS– bzw. IOS-XE-Software-Ständen generiert wurden. Ein solches Zertifikat wird am 01.01.2020 ungültig. Ist man betroffen und reagiert nicht, drohen Behinderungen im Betrieb der Komponenten, aber auch Störungen. 

Unangenehm: Der Herstellerhinweis auf das Problem ist kurzfristig erschienen. Ebenfalls ungünstig: Die Liste der betroffenen Software Releases ist äußerst umfangreich und enthält auch vergleichsweise neue Stände. Die Wahrscheinlichkeit, dass eigene Installationen tatsächlich betroffen sind, ist also hoch, wenn man mit SSCs arbeitet. 

Auf einer betroffenen Installation einfach ein neues SSC zu erzeugen und dieses zu verwenden, ist kein gangbarer Lösungsweg. Der Generierungsversuch wird mit einer Fehlermeldung scheitern. 

Mögliche negative Auswirkungen 

Dienste, für die man derartige SSCs im Zusammenhang mit sicheren Verbindungen einsetzt, werden mit Eintreten des Verfallsdatums 01.01.2020 nicht wie gewohnt funktionieren.  

Betroffen sind zum Beispiel HTTPS-Verbindungen, über die auf eine betroffene Komponente zu Management-Zwecken zugegriffen wird, sowie andere Formen sicherer Verbindungen (SSL VPN, IPSec). SIPS ist ebenfalls betroffen. Andere Formen der zertifikatsbasierten Absicherung von Signalisierung bei Telefonie können auch betroffen sein. 

Insofern können administrative Zugriffe behindert werden, aber (schlimmer!) auch Störungen eintreten, die auf das SSC-Problem zurückzuführen sind. 

Lösungswege und Vorgehensweise 

Der Hersteller empfiehlt ein Upgrade auf einen nicht betroffenen Software-Release-Stand, nennt allerdings auch andere Möglichkeiten als „Workaround“, um ein nutzbares Zertifikat zu erzeugen. 

Welchen Weg man auch bevorzugt: 
Zunächst muss man feststellen, ob eigene Installationen betroffen sind, und welche. Allein dieser Schritt kann schon mit erheblichem Aufwand verbunden sein. Sofern man nicht komplett auf die Verwendung von SSCs verzichtet hat, muss man Komponenten mit betroffenen IOS- bzw. IOS-XE-Release-Ständen lückenlos ausfindig machen. Eine vorhandene, gut gepflegte und leicht durchsuchbare Dokumentation des IT-Bestands wird die Suche erleichtern. Alternativ kann man auf allen Komponenten mit Zertifikaten den Zertifikatszustand prüfen – vorausgesetzt, man kennt die entsprechende Kommando-Sequenz. 

Danach folgt die Aufgabe eines kontrollierten Roll-outs des gewählten Lösungswegs – Workaround oder Software-Upgrade gemäß Herstellerempfehlung.  

Treten Anfang 2020 unerwartete Probleme im Zusammenhang mit IOS-basierten Installationen auf, sollte man zumindest die SSC-Problematik als mögliche Ursache berücksichtigen. 

Außerdem: Wenn man schon einen neuen Weg zur Zertifikatserzeugung und –Verwaltung einschlagen muss, warum dann nicht gleich überlegen, von den SSCs Abstand zu nehmen und zukünftig eine CA zu nutzen? Von Cisco als einer der „Workarounds“ genannt, kann dies ein guter dauerhafter Ansatz sein, sich von vergleichbaren Release-Problemen zukünftig unabhängig zu machen. Dann kann man auch nicht durch extrem kurzfristige Hinweise auf solche Probleme, wie im vorliegenden Fall, kalt erwischt werden.