El análisis de seguridad muestra lo siguiente: El almacén de confianza de certificados (Java) utiliza detalles de contraseña predeterminada o débil

El análisis de seguridad proporcionado por Bladelogic informó lo siguiente para el servidor de aplicaciones de Data Protection Advisor:

El almacén de confianza de certificados (Java) utiliza detalles de contraseña predeterminada o débil: Permisos de directorio: -rwxrwxr-x Propietario del directorio: apollosuperuser Grupo de propietarios del directorio: dpaservices

Detalles técnicos: /app/emc/dpa/services/_jre/lib/security/cacerts
 

La contraseña del almacén de confianza cacerts no era lo suficientemente segura, ya que usaba la predeterminada.

Para obtener una contraseña más segura, tanto el truststore de cacerts como su contraseña de alias se cambiaron mediante los siguientes pasos.

En el servidor de aplicaciones:
1. cd "C:\Program Files\EMC\DPA\services_jre\bin"

2. Cambie la contraseña del almacén de confianza cacerts con el siguiente comando.
keytool.exe -storepasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts"
Tenga en cuenta que la contraseña anterior es "changeit".  Ingrese una nueva contraseña cuando se le solicite.

3. Agregue la nueva línea que aparece a continuación, con la nueva contraseña, al final del archivo C:\Program Files\EMC\DPA\services_jre\lib\security\java.security:
javax.net.ssl.trustStorePassword=<new password>

4. Cambie la nueva contraseña de alias de cacerts con el siguiente comando.
keytool.exe -keypasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts" -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD

Donde PASSWORD es la nueva contraseña creada en el paso 2.

5. Reinicie la aplicación DPA.

Para mayor seguridad, los permisos del archivo cacerts también se cambiaron a 444. 

Después de estos cambios, el software Security Scan ya no detecta la alerta de seguridad.

El cacerts no es el almacén de claves (apollo.keystore) que DPA utiliza normalmente y que se encuentra en /opt/emc/dpa/services/standalone/configuration.  En su lugar, cacerts es un almacén de confianza independiente (almacén de claves) que contiene una recopilación de certificados de autoridad de certificación (CA) de confianza. Oracle incluye el archivo cacerts con su compatibilidad con SSL en el kit de herramientas Java™ Secure Socket Extension (JSSE) y JDK. 

Para el certificado autofirmado actual, DPA no depende del almacén de confianza. Sin embargo, puede haber otros terceros en los que podríamos confiar en este almacén de confianza al acceder a terminales remotos (es decir, ESRS, aplicaciones de respaldo o bases de datos). Si la CA firma el certificado de la aplicación remota, se verificará con este almacén de confianza.