Introduzione
Questo documento descrive il motivo per cui i certificati del proxy Cisco Umbrella scadono entro giorni dalla data corrente.
Prerequisiti
Requisiti
Nessun requisito specifico previsto per questo documento.
Componenti usati
Il riferimento delle informazioni contenute in questo documento è il SIG (Cisco Umbrella Secure Internet Gateway).
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Panoramica
Quando un proxy Web Cisco Umbrella è configurato per la decrittografia della comunicazione HTTPS, la data e l'ora di scadenza dei certificati ricevuti dal proxy possono in genere essere comprese entro dieci giorni dalla data e dall'ora correnti. Questa è una funzionalità di sicurezza e non richiede alcuna azione da parte dell'utente finale. Il rinnovo è automatico.
Durata dei certificati con decrittografia proxy
Quando i client Web inviano le comunicazioni HTTPS (richieste HTTP crittografate con TLS) tramite il proxy Umbrella Secure Web Gateway (SWG) o il proxy intelligente (IP) e il proxy è configurato per decrittografare le comunicazioni HTTPS, il proxy riscrive il certificato foglia appartenente al server e sostituisce tutti i certificati intermedi inviati anche dal server con i certificati intermedi Cisco. La sostituzione della catena di certificati è la tecnica standard con cui i proxy Web eseguono la decrittografia delle richieste e delle risposte crittografate in TLS.
I nuovi certificati foglia e intermedi vengono creati in modo dinamico. Quando si visualizzano le date Non prima e Non dopo nei certificati, in genere i certificati possono essere rilasciati con una durata breve non superiore a dieci giorni, come misura di protezione avanzata. Il rinnovo è automatico e non richiede alcuna azione da parte dell'utente finale.
Ad esempio, in queste immagini recuperate l'8 aprile 2023, il certificato foglia da example.com ha una data di validità non successiva all'11 aprile 2023 (rimangono 3 giorni di validità).
14723937288724
Analogamente, il primo certificato intermedio della catena, il certificato Cisco Umbrella Secondary SubCA, ha una validità non successiva (scadenza) al 17 aprile 2023.
14724083385492
Le date dei certificati nella catena Not Before e Not After in genere non sono identiche, in quanto i tempi di creazione variano a seconda del recupero di ogni certificato da parte di tutti gli utenti dell'istanza proxy.
Il rilascio di certificati di breve durata non si applica a:
In entrambe le configurazioni, i certificati sopra indicati possono avere periodi di validità più lunghi.