Inleiding
In dit document wordt beschreven waarom het verlopen van certificaten van de Cisco Umbrella-proxy binnen dagen na de huidige datum valt.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op Cisco Umbrella Secure Internet Gateway (SIG).
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Overzicht
Wanneer een Cisco Umbrella-webproxy is geconfigureerd voor het decoderen van HTTPS-communicatie, kunnen de vervaldatum en -tijd van de certificaten die van de proxy zijn ontvangen, doorgaans binnen tien dagen na de huidige datum en tijd zijn. Dit is een beveiligingsfunctie en vereist geen actie van de eindgebruiker. Vernieuwing gebeurt automatisch.
Levensduur certificaat met proxydecryptie
Wanneer webclients HTTPS-communicatie (HTTP-verzoeken versleuteld met TLS) verzenden via de Umbrella Secure Web Gateway (SWG)-proxy of de Intelligent Proxy (IP) en de proxy is geconfigureerd om HTTPS-communicatie te decoderen, herschrijft de proxy het leaf-certificaat dat bij de server hoort en vervangt alle tussenliggende certificaten die ook door de server zijn verzonden door tussenliggende Cisco-certificaten. Deze certificaatketenvervanging is de standaardtechniek waarmee webproxies verzoeken en antwoorden decoderen die zijn gecodeerd in TLS.
De nieuwe blad- en tussencertificaten worden dynamisch gemaakt. Bij het bekijken van de datums Niet voor en Niet na in de certificaten kunnen de certificaten doorgaans worden uitgegeven met een korte levensduur van niet meer dan tien dagen, als een verbeterde beveiligingsmaatregel. De verlenging gebeurt automatisch en vereist geen actie van de eindgebruiker.
Bijvoorbeeld, in deze afbeeldingen die zijn opgehaald op 8 april 2023, heeft het blad certificaat van example.com een Geldigheid Niet na datum van 11 april 2023 (3 dagen van geldigheid resterend).
14723937288724
Evenzo heeft het eerste tussencertificaat in de keten, het Cisco Umbrella Secondary SubCA-certificaat, een Validity Not After (vervaldatum) van 17 april 2023.
14724083385492
De datums Not Before en Not After van certificaten in de keten zijn meestal niet identiek, omdat de aanmaaktijden variëren afhankelijk van het ophalen van elk certificaat bij alle gebruikers van de proxy-instantie.
De afgifte van kortlopende certificaten is niet van toepassing op:
In beide configuraties kunnen de bovengenoemde certificaten langere geldigheidsperioden hebben.