Descripción:  Existe un cambio de directiva para los certificados de Microsoft. La nueva política ya no permitirá a las autoridades de certificados emitir certificados X.509 utilizando el algoritmo de hashing SHA-1 para los propósitos de SSL y firma de código después del 1 de enero de 2016. El uso del algoritmo de hash SHA-1 en certificados digitales podría permitir a un atacante el falsificar contenido, realizar ataques de phishing o realizar ataques man-in-the-middle.

CVE: CVE-2004-2761
Factor de Riesgo: Medio
Valor CVSS Base:
5

Solución: Para dar solución a la vulnerabilidad se hace necesario  re-configurar el HASH  de   los certificados de los CA que se encuentren establecidos a través de MD2, MD4, o MD5, debido a que este método  es vulnerable a colisiones, los pasos para realizar la re-configuración del HASH usando SHA-256 en los servidores Windows son:

Configurar los certificados SHA-2

  • Iniciar la herramienta Certification Authority
  • Seleccionar su certificado, dar clic derecho e ir a propiedades
  • En la pestaña General, buscar y seleccionar el hash actual (en este caso SHA-1).

    Actualizar el certificado a SHA256
  • Abrir powershell e ingresar el siguiente comando
    certutil -setreg ca\csp\CNGHashAlgorithm SHA256
  • Reiniciar el servicio de certificados usando el botón de STOP y START en el panel de administración de los certificados.

    Renovar los certificados a usar SHA256
  • Seleccionar de nuevo el certificado, dar clic derecho, seleccionar All Tasks y seleccionar Renew CA Certificate
  • Aceptar la solicitud de detener el servicio de Active Directory Certifitate
  • Seleccionar generar una nueva firma
  • El servicio de Active Directory Certificate se reiniciará.Confirmar  el nuevo algoritmo de cifrado del Certificado
  • De nuevo seleccionar el certificado, dar clic derecho y seleccionar Propiedades.
  • En la pestaña General buscar y seleccionar el hash actual (en este caso SHA256) y seleccionar ver certificado.

 

  • VMWARE

Solución

En las tablas siguientes se enumeran los cifrados admitidos y sus puertos en ESX / ESXi y vCenter Server. Estas cifras se basan en el paquete OpenSSL creado por VMware que se entrega con vCenter Server (Servidor vCenter Server \ openSL \ openssl.exe en vSphere 6.0), vCenter Server Appliance ( / usr / lib / vmware -openSSL / openssl en vSphere 6.0 ), y ESXi ( / bin / openssl ). VMware no aprovecha el paquete OpenSSL enviado de forma nativa con SLES.

ESX / ESXi

Cifras soportadas
RC4-MD5
RC4-SHA

AES128-SHA

DES-CBC3-SHA
Suite B 1,2
Puerto 443
ESX 4.0
Soportado
Soportado
Soportado
Soportado
No soportado
Actualización ESX 4.0
Soportado
Soportado
Soportado
Soportado
No soportado
ESX 4.1
Soportado
Soportado
Soportado
Soportado
No soportado
ESXi 5.x
No soportado
No soportado
Soportado
Soportado
Soportado 2
ESXi 6.0 No soportado No soportado Soportado No soportado Soportado 2
ESXi 6.5 No soportado No soportado Soportado No soportado Soportado 2

Referencias:
https://tools.ietf.org/html/rfc3279
https://blogs.technet.microsoft.com/pki/2013/09/19/upgrade-certification-authority-to-sha256/

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1018510

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like