المقدمة
يوضح هذا المستند سبب وضع علامة على الشهادة الرقمية ل Umbrella Root CA كمخاطرة بواسطة أدوات تدقيق الأمان.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى عبارة الويب الآمنة Cisco Umbrella (SWG).
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
نظرة عامة
يمكن أن تبلغ أدوات تدقيق أمان معينة تستخدم لمسح البنية الأساسية Umbrella عن أن الشهادة الرقمية Cisco Umbrella Root CA تحتوي على مفتاح RSA إصدار 2048 بت وانتهاء صلاحية بعد عام 2030. وفقا للأداة والسياسة الأمنية للمؤسسة، يمكن وضع علامة على حجم المفتاح و/أو تاريخ انتهاء الصلاحية على أنهما خطر قد يتطلب إصلاحا. راجع المعلومات الواردة في هذه المقالة لتحديد ما إذا كانت مؤسستك بحاجة إلى قبول توصيات أداة التدقيق أم لا.
توصيات NIST
تم إصدار التوصيات الخاصة بطول مفتاح الشهادة الرقمية عبر الوقت (بما في ذلك تاريخ 2030 لمفاتيح RSA ذات العيار 2048 بت) من قبل المعاهد القومية الأمريكية للمعايير (NIST). والوثيقة التي تتضمن هذه التوصيات هي الوثيقة SP 800-57 الجزء 1 التنقيح 5: التوصية المتعلقة بالإدارة الرئيسية.
"يشير الجدول 4، إطارات قوة الأمان الزمنية" (الصفحة 59) إلى أن قوة الأمان المكافئة ل 112 وحدة بت مفتاح متماثلة صالحة بعد عام 2030 ل "الاستخدام القديم" (تماثل المفاتيح غير المتماثلة RSA 2048-بت ما يقرب من 116 وحدة بت من قوة المفتاح المتماثل). يندرج إستخدام شهادة جذر موجودة مثل شهادة CA للجذر ل Cisco في هذه الفئة، لذلك سيعتبر هذا إستخداما متوافقا. لن يمتثل إصدار شهادة بمفتاح 2048 بت بعد عام 2030 للتوصية.
تواصل هيئات شهادات عامة أخرى معروفة إستخدام الشهادات الجذر مع مفاتيح RSA من فئة 2048 بت وتواريخ انتهاء الصلاحية بعد عام 2030. مراجعة وثائق DigiCert: شهادات مرجع جذر موثوق به من DigiCert لأمثلة مثل شهادة المرجع المصدق الجذر العام وشهادة المرجع المصدق المصدق على جذر المعرف المضمونة التي تم إصدارها بواسطة DigiCert.
قبل عام 2030 بكثير، يمكن أن تصدر Cisco Umbrella شهادة جذر جديدة واحدة أو أكثر بأحجام مفاتيح أكبر تمتثل لتوصيات NIST.
معلومات إضافية
وتتمتع المنظمات بحرية تقرير ما إذا كانت توصيات المعهد الوطني للصحة النفسية تلبي إحتياجاتها. إذا كانت لديك مزيد من المخاوف حول هذه المشكلة، فإن Cisco لديها فريق PKI متخصص يشرف على متجر Cisco الجذر الموثوق وبرنامج التوافق مع PKI. تتوفر معلومات إضافية من فريق Cisco PKI (بما في ذلك جميع الشهادات العامة الصادرة عن Cisco، وسياسات الشهادات، وبيانات الممارسات، والوثائق الأخرى) في Cisco PKI: السياسات، الشهادات، والمستندات. يمكن إرسال أسئلة إضافية عبر البريد الإلكتروني إلى فريق PKI على العنوان ciscopki-public@external.cisco.com.
التعليقات