Certificat SSL des contrôleurs Aruba révoqué, quelles conséquences ?

Suite à la publication de la clé privée du certificat SSL "securelogin.arubanetworks.com" [1], ce dernier a été révoqué le 7 Septembre 2016 à 19:04:44 par l'Autorité de Certification émettrice GeoTrust DV SSL CA, via la mise à jour de leur CRL [2].

alt

En effet, avec la clé privée, n'importe qui pouvait se faire passer pour "securelogin.arubanetworks.com", facilitant de ce fait les attaques de type "Man-In-The-Middle" (notamment dans les espaces publics, si le portail captif interne est utilisé).

Ce certificat est embarqué dans tous les contrôleurs WiFi HPE/Aruba Networks ainsi que les bornes Aruba Instant, et est utilisé par défaut (WebUI pour ArubaOS, Portail Captif et Terminaison 802.1X pour InstantOS et ArubaOS).

Le contrôle de la révocation du certificat est réalisé par le navigateur web, et la plupart d'entre eux (Internet Explorer, Opera et Chrome) refuse d'accéder à un site Web dont le certificat a été révoqué. Le navigateur Firefox n'est pas impacté car il semble qu'il n'utilise pas les CRL [3].

Les conséquences de cette révocation sont multiples :

  • Impossible de se connecter sur l'interface WebUI des contrôleurs Aruba
  • Impossible d'accéder au portail captif embarqué (Contrôleurs et IAP)
  • Echec de la connexion WPA2-Entreprise si la terminaison 802.1X est activée (Contrôleurs et IAP)

alt

Solutions :

  • Installer un certificat acquis auprès d'une autorité de confiance publique (exemple Certigna [4]), indispensable en cas d'usage du portail captif embarqué par le grand public.
  • Installer un certificat généré par une autorité de confiance interne (PKI Microsoft par exemple), peut suffire dans le cadre d'un usage interne où les terminaux font confiance à la PKI maison.
  • Installer un certificat auto-signé, qui n'apporte aucune sécurité, mais évite le blocage de l'interface Web par le navigateur.

L'éditeur met en ligne pour ses partenaires un document [5] reprenant en détails les actions à mettre en place.

A noter que de nombreux constructeurs utilisent le même certificat officiel sur toute leur gamme [6], et l'histoire pourrait bien se répéter...

[UPDATE] Lien pour les IAP - Lien pour les contrôleurs

[1] https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20160906-0_Aruba_Networks_Browser_trusted_cert_private_key_embedded_v10.txt

[2] http://gtssldv-crl.geotrust.com/crls/gtssldv.crl

[3] https://wiki.mozilla.org/CA:ImprovingRevocation#RemoveCRLUser-Interface

[4] https://www.certigna.fr/description-ssl.xhtml

[5] http://support.arubanetworks.com/LinkClick.aspx?link=https%3a%2f%2fsupport.arubanetworks.com%2fDocumentation%2ftabid%2f77%2fDMXModule%2f512%2fCommand%2fCore_Download%2fDefault.aspx%3fEntryId%3d22751&tabid=139&mid=381

[6] http://blog.sec-consult.com/2015/11/house-of-keys-industry-wide-https.html