Cosa cambia, perché è importante e come aggiornare
SonicWall ha aggiornato il certificato di Autorità di Certificazione (CA) per il re‑signing DPI‑SSL nei firmware SonicOS 7.2.0 e successivi.
L’attuale certificato 2048‑bit (dpi-ssl-2048-sha2.cer) scade il 15 gennaio 2026; è stato rilasciato un nuovo certificato 2048‑bit (dpi-ssl-2048-new2.cer) con validità estesa fino al 5 febbraio 2035.
Entrambi i certificati condividono la stessa chiave privata e gli stessi attributi (cambia solo l’intervallo di validità), garantendo piena retro‑compatibilità.
|
|
A chi interessa?
Questo aggiornamento riguarda i clienti che utilizzano la CA di default per il Client DPI‑SSL. Se usi una CA personalizzata, non sei interessato dalla scadenza del certificato di default.
|
Perché aggiornare ora
- Evitare errori di trust e interruzioni: alla scadenza del vecchio certificato, i browser e i sistemi potrebbero non fidarsi più del re‑signed certificate generato dal firewall, generando errori e blocchi nell’ispezione SSL.
- Compatibilità assicurata: il nuovo certificato mantiene la stessa chiave privata e attributi, per cui l’aggiornamento non introduce incompatibilità operative.
- Best practice: SonicWall raccomanda di mantenere certificati e catene di fiducia aggiornati e di importare il certificato tra le Autorità di Certificazione attendibili dei client per evitare avvisi di sicurezza.
|
Cosa devi fare (passo‑passo)
Prerequisito: Assicurati che il firewall esegua una versione di SonicOS che include il nuovo certificato (7.2.0 e successivi). In caso di dubbi, verifica nel portale firmware o nelle note di rilascio/KB correlati.
|
|
|
Uso di CA personalizzata: quando e perché
Se non puoi aggiornare subito il firmware, o se preferisci un controllo completo sulla tua PKI, SonicWall documenta come generare e utilizzare una CA personalizzata per il re‑signing DPI‑SSL (es. Microsoft CA o OpenSSL), ricordando che le CA commerciali non rilasciano certificati con autorità di re‑sign.
È richiesto almeno SHA‑256 e 2048‑bit.
|
