Viele verschiedene alte elektronische Geräte können sich am 30. September aufgrund des auslaufenden digitalen Stammzertifikats IdenTrust DST Root CA X3, das zum Signieren von Zertifikaten von Let's Encrypt verwendet wurde, nicht mehr mit vielen Websites verbinden. Das Problem kann Millionen von Geräten auf der ganzen Welt betreffen.
Cross-Signing hat sichergestellt, dass Systeme Let's Encrypt-Zertifikaten auf einer Vielzahl von Geräten, Betriebssystemen und Browsern vertrauen können, während das eigene Stammzertifikat von Let's Encrypt in Stammzertifikatspeicher integriert wird. Das neue ISRG Root X1 Intermediate Certificate deckt jedoch nicht viele andere Legacy-Systeme ab. Nachdem beispielsweise die DST-Root-CA X3 veraltet ist, werden Let's Encrypt-Zertifikate in vielen Firmware- und Betriebssystemen nicht mehr akzeptiert. Um sicherzustellen, dass Let's Encrypt-Zertifikate vertrauenswürdig sind, müssen Sie den ISRG Root X1 manuell zum Root-Zertifikatsspeicher hinzufügen.
MacBook-Laptops auf Basis von macOS 10.12.0 und älter, iPhone- und iPad-Smartphones, die nicht auf mindestens iOS 10 aktualisiert werden können, PlayStation 3- und PlayStation 4-Spielekonsolen mit Firmware älter als 5.00 sowie Nintendo 3DS, alte Smart-TVs und IoT-Geräte, die im Heimnetzwerk verwendet werden.
Außerdem können Verbindungsprobleme bei jedem Gadget beobachtet werden, das eine sichere Verbindung zu einem bestimmten Server erfordert. Einige Geräte verlieren den Zugriff auf dieselben Streaming-Dienste wie Netflix. Bei Postdiensten und Bankkunden können Probleme auftreten.
Gefährdet sind außerdem: Benutzer von Geräten auf Basis von Android 2.3.6 und älter, Systeme auf Basis von Windows XP Service Pack 2 (SP3 muss installiert sein), OpenSSL-Clients ab Version 1.0.2, Ubuntu-Versionen kleiner als 16.04, Debian 8 und älter, Java 8 unter Version 8u141, Java 7 unter Version 7u151, NSS unter 3.26. Benutzern älterer Distributionen auf Basis von OpenSSL 1.0.2 werden drei Workarounds angeboten, um das Problem zu lösen:
Entfernen Sie manuell das Stammzertifikat IdenTrust DST Root CA X3 und installieren Sie das eigenständige (nicht kreuzsignierte) ISRG Root X1-Stammzertifikat;
Die Option "--trusted_first" kann angegeben werden, wenn die Befehle openssl verify und s_client ausgeführt werden;
Verwenden Sie ein serverseitiges Zertifikat, das mit einem eigenständigen SRG-Root-X1-Zertifikat signiert ist, das nicht kreuzsigniert ist.
2021-09-29 19:23:29
Autor: Vitalii Babkin