思科竟将华为加密证书放入自家交换机？

据ZDNet报道，思科披露了其网络设备中的一系列漏洞，然而这里面有一个令人尴尬的错误，即思科将华为的加密证书放入了自己的交换机里。

据报道，思科在自己的产品中发现了18个高严重性和中等严重性的漏洞，以及一个标记为“信息性”的奇怪漏洞，这一漏洞会影响其Small Business 250，350，350X和550X系列交换机，甚至是严重到使交换机无法获得自己的CVE标识符。

报道称，安全公司SEC Consult物联网部门SEC Technologies的研究人员在使用其漏洞检测软件检测思科的Small Business 250系列交换机的固件映像时，居然发现这些交换机包含有Futurewei Technologies的数字证书和密钥。而Futurewei是华为在美国的研发部门。

但问题是，长期以来，思科似乎一直竭尽所能的对华为进行打压，那么为什么还会将其竞争对手的证书和密钥放入自己的交换机中？

报道表示，是思科开发人员在测试期间使用了华为制造的开源软件包，但忘记了删除某些组件。

有意思的是，SEC Technologies首席执行官Florian Lukavsky向媒体说道 ：“我们注意到固件中使用了华为证书，考虑到政治上的争议，我们不想做进一步推测”。

对于这件事，思科的解释是这样的：

在Cisco Small Business 250系列交换机固件中发现了具有对应的公钥/私钥和对应的根CA证书的X.509证书。SEC Consult称其为“密钥之家”。这两份证书均颁发给了华为子公司Futurewei Technologies。

所涉及的证书和密钥是思科 FindIT网络探针的一部分，该探针与Cisco Small Business 250、350、350X和550X系列交换机固件捆绑在一起。这些文件是OpenDaylight开源包的一部分。它们的用途是使用OpenDaylight例程测试软件的功能。

思科FindIT团队在开发思科FindIT网络探针期间，将这些证书和密钥用于早期的测试，事实上这些证书没有在任何正式发布的思科产品中得到使用。思科FindIT网络探针的所有供货版本都使用了动态创建的证书。

包含在OpenDaylight开源软件包中的证书和密钥是思科 FindIT开发团队的疏忽。