Корневой сертификат AddTrust от Sectigo истёк 30 мая 2020 года, что вызвало проблемы в клиентах OpenSSL 1.0.x и GnuTLS / Хабр

Корневой сертификат AddTrust от Sectigo истёк 30 мая 2020 года, что вызвало проблемы в клиентах OpenSSL 1.0.x и GnuTLS / Хабр Сертификаты

Почему возникает ошибка

При подключении клиента TLS-сервер отправляет ему свой сертификат. Клиент должен построить цепочку сертификатов от сертификата сервера до корневого сертификата, которому клиент доверяет. Чтобы помочь клиенту построить эту цепочку, сервер отправляет дополнительно один или несколько промежуточных сертификатов вместе со своим собственным.

Например, веб-сайт отправляет следующие два сертификата:

Client reports certificate not issued by trusted certificate authority

To address:

Client-side:

Update the OpenSSL library software version.

Edit the local CA roots trust store and remove/disable/blacklist the “AddTrust External CA Root” root certificate.

Comodo positivessl

  • private.key – приватный ключ (вставлять в первое поле). Ключ вы генерируете сами вначале регистрации сертификата.
  • sitename_com.crt – сертификат для вашего домена (вставлять в второе поле).
  • sitename_com.ca-bundle – промежуточный сертификат (вставлять в третье поле).

Digi sert может предоставить такие файлы

  • key.txt – приватный ключ (вставлять в первое поле). Ключ вы генерируете сами вначале регистрации сертификата.
  • sitename_ru_2022_10_13.crt – сертификат для вашего домена (вставлять в второе поле).
  • intermediate_pem_thawte_ssl123_1.crt – промежуточный сертификат (вставлять в третье поле).
  • root_pem_thawte_ssl123_1.crt – корневой сертификат (вставлять в четвертое поле).

При установке SSL сертификата, содержимое каждого из файлов нужно копировать вместе с текстом:

---BEGIN CERTIFICATE-----
---END CERTIFICATE-----

то есть не нужно отдельно выбирать что копировать, а что нет. Открыли файл текстовым редактором (блокнотом) Notepad и копируете все содержимое, далее вставляете в нужное поле.

Купить SSL сертификат

Про сертификаты:  Сертификат на тали ручные шестеренные |

Impact

Thousands of web sites / services / APIs which present certificates that were issued by the vendor may have experienced trouble negotiating incoming secure connections from their clients. Exact issues, if any, depended on a mix of server configuration, client version, and client configuration.

A client validating any of those certificates had access to 3 “paths” to do so successfully. One of those paths (A) became invalid after the above certificates expired:

Openssl-based clients reporting certificate is expired

If a server is sending a bundled chain of certificates and it includes the above NOW EXPIRED certificates from Chain Path A, AND the client is using an older OpenSSL version (<1.1.0), AND the client’s local CA roots trust store has the “AddTrust” root certificate, it will trigger a bug where the client will report an Expired error.

To address, do any/some/most of the following:

Positivessl

  • private.key – приватный ключ (вставлять в первое поле). Ключ вы генерируете сами вначале регистрации сертификата.
  • name_domain.crt – сертификат для вашего домена (вставлять в второе поле).
  • PositiveSSLCA2.crt – промежуточный сертификат (вставлять в третье поле).
  • AddTrustExternalCARoot.crt – корневой сертификат (вставлять в четвертое поле).

Server-side:

In the chain bundle you serve, include the (Type:Intermediate) certificates in path B and/or C above to encourage your clients to reach one of the two valid (Type:Root) certificates in their local CA roots trust store.

The expired certificates

The following certificates expired on May 30 10:48:38 2020 GMT:

Истёк срок действия корневого сертификата addtrust external ca root | leaderssl

Корневой сертификат AddTrust от Sectigo истёк 30 мая 2020 года, что вызвало проблемы в клиентах OpenSSL 1.0.x и GnuTLS / Хабр

30 мая 2020 года истёк срок действия корневого сертификата
AddTrust External CA Root, а также промежуточных сертификатов USERTrustRSA и
Comodo RSA CA.

Про сертификаты:  Работа На Категорию Фельдшера Лаборанта Бесплатно Рефераты

Хотя Sectigo (ранее
Comodo) и утверждали, что
переход никак не скажется на клиентах, это привело к потере работоспособности
ряда систем.

Как же исправить ситуацию?

Перевыпускать сертификат не требуется,
достаточно поменять цепочку на сервере.

Если у Вас всё работает в штатном режиме, то
никаких действий не требуется!

Ниже представлены устаревшие цепочки (слева) и
замена им справа

Корневой сертификат AddTrust от Sectigo истёк 30 мая 2020 года, что вызвало проблемы в клиентах OpenSSL 1.0.x и GnuTLS / Хабр

Как определить нужную цепочку?
Откройте Ваш сертификат двойным кликом и найдите поле «Кем выдан».

  • Если Вы видите «Sectigo RSA Domain Validation Secure Server
    CA», то файлы актуальной цепочки можно скачать здесь
    или ca-bundle (для NGINX, Apache)
  • Если Вы видите «Sectigo RSA Organization Validation Secure
    Server CA», то файлы актуальной цепочки можно скачать здесь
    или ca-bundle (для NGINX, Apache)
  • Если Вы видите «Sectigo RSA Extended Validation Secure Server CA»,
    то файлы актуальной цепочки можно скачать здесь
    или ca-bundle (для NGINX, Apache)
  • Если Вы видите «COMODO RSA Domain Validation Secure Server
    CA», то файлы актуальной цепочки можно скачать здесь
    или ca-bundle (для NGINX, Apache)
  • Если Вы видите «COMODO RSA Organization Validation Secure Server CA»,
    то файлы актуальной цепочки можно скачать здесь
    или ca-bundle (для NGINX, Apache)
  • Если Вы видите «COMODO RSA Extended Validation Secure Server CA»,
    то файлы актуальной цепочки можно скачать здесь
    или ca-bundle (для NGINX, Apache)

Проверка своих сервисов


Операторам серверных обработчиков и клиентских приложений рекомендуется проверить свою цепочку сертификатов на наличие устаревшего корневого сертификата AddTrust.

По сути, нужно просто удалить AddTrust External CA Root из цепочки доверия.

Для серверных операторов есть сервис What’s My Chain Cert?, который выполняет такую проверку и помогает сгенерировать новую цепочку доверия со всеми необходимыми промежуточными сертификатами. В эту цепочку необязательно включать корневой сертификат, поскольку он уже есть в хранилище у всех клиентов. Кроме того, включать его в цепочку просто неэффективно из-за увеличения размера рукопожатия SSL.

Про сертификаты:  Настройка собственного почтового сервера / Хабр
Оцените статью
Мой сертификат
Добавить комментарий