O Java Update impõe verificações de CRL por padrão, o que evita fluxos de NSP e convidados

Opções de download

  • PDF     (312.4 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (145.6 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (101.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:7 de agosto de 2013
ID do documento:116444

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve um problema encontrado onde a atualização mais recente do Java interrompe o provisionamento do solicitante e alguns fluxos de convidados que usam Listas de Controle de Acesso (ACLs) e redirecionamento.

Informações de Apoio

O erro está no CiscoSPWDownloadFacilitator e indica "Falha ao validar o certificado. O aplicativo não será executado."

Se você clicar em Mais informações, receberá uma saída que reclama sobre a Lista de certificados revogados (CRL).

java.security.cert.CertificateException: java.security.cert.
CertPathValidatorException: java.io.IOException: DerInputStream.getLength(): 
lengthTag=127, too big.
	at com.sun.deploy.security.RevocationChecker.checkOCSP(Unknown Source)
	at com.sun.deploy.security.RevocationChecker.check(Unknown Source)
	at com.sun.deploy.security.TrustDecider.checkRevocationStatus(Unknown Source)
	at com.sun.deploy.security.TrustDecider.getValidationState(Unknown Source)
	at com.sun.deploy.security.TrustDecider.validateChain(Unknown Source)
	at com.sun.deploy.security.TrustDecider.isAllPermissionGranted(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.isTrustedByTrustDecider
        (Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.getTrustedCodeSources(Unknown Source)
	at com.sun.deploy.security.CPCallbackHandler$ParentCallback.strategy
        (Unknown Source)
	at com.sun.deploy.security.CPCallbackHandler$ParentCallback.openClassPathElement
        (Unknown Source)
	at com.sun.deploy.security.DeployURLClassPath$JarLoader.getJarFile
        (Unknown Source)
	at com.sun.deploy.security.DeployURLClassPath$JarLoader.access$1000
        (Unknown Source)
	at com.sun.deploy.security.DeployURLClassPath$JarLoader$1.run(Unknown Source)
	at java.security.AccessController.doPrivileged(Native Method)
	at com.sun.deploy.security.DeployURLClassPath$JarLoader.ensureOpen
        (Unknown Source)
	at com.sun.deploy.security.DeployURLClassPath$JarLoader.<init>(Unknown Source)
	at com.sun.deploy.security.DeployURLClassPath$3.run(Unknown Source)
	at java.security.AccessController.doPrivileged(Native Method)
	at com.sun.deploy.security.DeployURLClassPath.getLoader(Unknown Source)
	at com.sun.deploy.security.DeployURLClassPath.getLoader(Unknown Source)
	at com.sun.deploy.security.DeployURLClassPath.getResource(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader$2.run(Unknown Source)
	at java.security.AccessController.doPrivileged(Native Method)
	at sun.plugin2.applet.Plugin2ClassLoader.findClassHelper(Unknown Source)
	at sun.plugin2.applet.Applet2ClassLoader.findClass(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.loadClass0(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.loadClass0(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Unknown Source)
	at java.lang.ClassLoader.loadClass(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.loadCode(Unknown Source)
	at sun.plugin2.applet.Plugin2Manager.initAppletAdapter(Unknown Source)
	at sun.plugin2.applet.Plugin2Manager$AppletExecutionRunnable.run(Unknown Source)
	at java.lang.Thread.run(Unknown Source)
	Suppressed: com.sun.deploy.security.RevocationChecker$StatusUnknownException
		at com.sun.deploy.security.RevocationChecker.checkCRLs(Unknown Source)
		... 34 more
Caused by: java.security.cert.CertPathValidatorException: 
java.io.IOException: DerInputStream.getLength(): lengthTag=127, too big.
	at sun.security.provider.certpath.OCSP.check(Unknown Source)
	at sun.security.provider.certpath.OCSP.check(Unknown Source)
	at sun.security.provider.certpath.OCSP.check(Unknown Source)
	... 35 more
Caused by: java.io.IOException: DerInputStream.getLength(): lengthTag=127, too big.
	at sun.security.util.DerInputStream.getLength(Unknown Source)
	at sun.security.util.DerValue.init(Unknown Source)
	at sun.security.util.DerValue.<init>(Unknown Source)
	at sun.security.provider.certpath.OCSPResponse.<init>(Unknown Source)
	... 38 more

Problema

Na versão mais recente do Java (Versão 7, Atualização 25 - lançada em 5 de agosto de 2013), a Oracle introduziu uma nova configuração padrão que força o cliente a validar o certificado associado a qualquer applet contra qualquer CRL ou Protocolo de Status de Certificado On-line (OCSP - Online Certificate Status Protocol).

O certificado de autenticação que a Cisco associa a esses miniaplicativos tem uma lista de CRL e OCSP com Thawte. Devido a essa nova alteração, quando o cliente Java tenta alcançar Thawte, ele é bloqueado por uma ACL de porta e/ou uma ACL de redirecionamento.

O problema é rastreado sob o bug da Cisco ID CSCui46739.

Solução

Opção 1 - Correção lateral do switch ou do controlador sem fio

  1. Reescreva todos os redirecionamentos ou ACLs baseadas em porta para permitir o tráfego para Descongelar e Verisign. Infelizmente, uma limitação dessa opção é que as ACLs não podem ser criadas a partir de nomes de domínio.
  2. Resolva a lista de CRL manualmente e coloque-a na ACL de redirecionamento.

Observação: talvez as regras de firewall precisem ser atualizadas se o cliente precisar se comunicar por meio de um firewall.

[user@user-linux logs]$ nslookup
> crl.thawte.com
Server:         64.102.6.247
Address:        64.102.6.247#53

Non-authoritative answer:
crl.thawte.com  canonical name = crl.ws.symantec.com.edgekey.net.
crl.ws.symantec.com.edgekey.net canonical name = e6845.ce.akamaiedge.net.
Name:   e6845.ce.akamaiedge.net
Address: 23.5.245.163

> ocsp.thawte.com
Server:         64.102.6.247
Address:        64.102.6.247#53

Non-authoritative answer:
ocsp.thawte.com canonical name = ocsp.verisign.net.
Name:   ocsp.verisign.net
Address: 199.7.48.72

Se esses nomes DNS mudarem e os clientes resolverem algo diferente, reescreva a URL de redirecionamento com os endereços atualizados.

Exemplo de ACL de redirecionamento:

     5 remark ISE IP address
    10 deny ip any host X.X.X.X (467 matches)
    15 remark crl.thawte.com
    20 deny ip any host 23.5.245.163 (22 matches)
    25 remark ocsp.thawte.com
    30 deny ip any host 199.7.52.72
    40 deny udp any any eq domain (10 matches)
    50 permit tcp any any eq www (92 matches)
    60 permit tcp any any eq 443 (58 matches)

Os testes mostraram que os URLs do OSCP e da CRL resolvem para estes endereços IP:

OCSP
199.7.48.72
199.7.51.72
199.7.52.72
199.7.55.72
199.7.54.72
199.7.57.72
199.7.59.72


CRL
23.4.53.163
23.5.245.163
23.13.165.163
23.60.133.163
23.61.69.163
23.61.181.163

Essa pode não ser uma lista completa e pode mudar com base na geografia, portanto, é necessário fazer testes para descobrir quais endereços IP os hosts resolvem em cada instância.

Opção 2 - Correção do lado do cliente

Dentro da seção Avançado do Painel de controle Java, defina Executar verificações de revogação de certificado em como Não verificar (não recomendado).

   OSX: Preferências do Sistema > Java
           Avançado
           Executar revogação de certificado usando: Alterar para 'Não verificar (não recomendado)'

   Windows: Painel de Controle > Java
           Avançado
           Executar revogação de certificado usando: Alterar para 'Não verificar (não recomendado)'

Histórico de revisões

Revisão Data de publicação Comentários
1.0
05-Aug-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Sam Hertica, Jesse Dubois, and John Newman
    Cisco TAC Engineers.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos