SSL Certificate Signed using Weak Hashing Algorithm
Descripción: Existe un cambio de directiva para los certificados de Microsoft. La nueva política ya no permitirá a las autoridades de certificados emitir certificados X.509 utilizando el algoritmo de hashing SHA-1 para los propósitos de SSL y firma de código después del 1 de enero de 2016. El uso del algoritmo de hash SHA-1 en certificados digitales podría permitir a un atacante el falsificar contenido, realizar ataques de phishing o realizar ataques man-in-the-middle.
CVE: CVE-2004-2761
Factor de Riesgo: Medio
Valor CVSS Base: 5
Solución: Para dar solución a la vulnerabilidad se hace necesario re-configurar el HASH de los certificados de los CA que se encuentren establecidos a través de MD2, MD4, o MD5, debido a que este método es vulnerable a colisiones, los pasos para realizar la re-configuración del HASH usando SHA-256 en los servidores Windows son:
Configurar los certificados SHA-2
- Iniciar la herramienta Certification Authority
- Seleccionar su certificado, dar clic derecho e ir a propiedades
- En la pestaña General, buscar y seleccionar el hash actual (en este caso SHA-1).
Actualizar el certificado a SHA256 - Abrir powershell e ingresar el siguiente comando
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
- Reiniciar el servicio de certificados usando el botón de STOP y START en el panel de administración de los certificados.
Renovar los certificados a usar SHA256 - Seleccionar de nuevo el certificado, dar clic derecho, seleccionar All Tasks y seleccionar Renew CA Certificate
- Aceptar la solicitud de detener el servicio de Active Directory Certifitate
- Seleccionar generar una nueva firma
- El servicio de Active Directory Certificate se reiniciará.Confirmar el nuevo algoritmo de cifrado del Certificado
- De nuevo seleccionar el certificado, dar clic derecho y seleccionar Propiedades.
- En la pestaña General buscar y seleccionar el hash actual (en este caso SHA256) y seleccionar ver certificado.
- VMWARE
Solución
En las tablas siguientes se enumeran los cifrados admitidos y sus puertos en ESX / ESXi y vCenter Server. Estas cifras se basan en el paquete OpenSSL creado por VMware que se entrega con vCenter Server (Servidor vCenter Server \ openSL \ openssl.exe en vSphere 6.0), vCenter Server Appliance ( / usr / lib / vmware -openSSL / openssl en vSphere 6.0 ), y ESXi ( / bin / openssl ). VMware no aprovecha el paquete OpenSSL enviado de forma nativa con SLES.
ESX / ESXi
|
Cifras soportadas
|
RC4-MD5
|
RC4-SHA
|
AES128-SHA |
DES-CBC3-SHA
|
Suite B 1,2 |
| Puerto 443 | |||||
| ESX 4.0 |
Soportado
|
Soportado
|
Soportado
|
Soportado
|
No soportado |
| Actualización ESX 4.0 |
Soportado
|
Soportado
|
Soportado
|
Soportado
|
No soportado |
| ESX 4.1 |
Soportado
|
Soportado
|
Soportado
|
Soportado
|
No soportado |
| ESXi 5.x |
No soportado
|
No soportado
|
Soportado
|
Soportado
|
Soportado 2 |
| ESXi 6.0 | No soportado | No soportado | Soportado | No soportado | Soportado 2 |
| ESXi 6.5 | No soportado | No soportado | Soportado | No soportado | Soportado 2 |
Referencias:
https://tools.ietf.org/html/rfc3279
https://blogs.technet.microsoft.com/pki/2013/09/19/upgrade-certification-authority-to-sha256/
https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1018510
No Comment
You can post first response comment.