Molti vecchi dispositivi elettronici non saranno più in grado di connettersi a molti siti il 30 settembre a causa del certificato radice digitale IdenTrust DST Root CA X3 in scadenza, utilizzato per firmare i certificati emessi da Let's Encrypt. Il problema può interessare milioni di gadget in tutto il mondo.
La firma incrociata ha garantito che i sistemi possano fidarsi dei certificati Let's Encrypt su un'ampia gamma di dispositivi, sistemi operativi e browser, integrando al contempo il certificato radice di Let's Encrypt negli archivi di certificati radice. Tuttavia, il nuovo certificato intermedio ISRG Root X1 non copre molti altri sistemi legacy. Ad esempio, dopo che DST Root CA X3 è stato deprecato, i certificati Let's Encrypt non saranno più accettati in molti firmware e sistemi operativi. Per assicurarti che i certificati Let's Encrypt siano affidabili, dovrai aggiungere manualmente ISRG Root X1 all'archivio certificati radice.
Laptop MacBook basati su macOS 10.12.0 e precedenti, smartphone iPhone e iPad che non sono in grado di aggiornare almeno ad iOS 10, PlayStation 3 e console di gioco PlayStation 4 con firmware precedente a 5.00, nonché Nintendo 3DS, vecchie smart-TV e dispositivi IoT utilizzati nella rete domestica.
Inoltre, è possibile osservare problemi di connessione su qualsiasi gadget che richiede una connessione sicura a un server specifico. Alcuni dispositivi perderanno l'accesso agli stessi servizi di streaming, come Netflix. Possono sorgere problemi con i servizi postali e i clienti bancari.
A rischio sono anche: utenti di dispositivi basati su Android 2.3.6 e precedenti, sistemi basati su Windows XP Service Pack 2 (deve essere installato SP3), client OpenSSL versione 1.0.2 e precedenti, versioni Ubuntu precedenti alla 16.04, Debian 8 e precedente, Java 8 inferiore alla versione 8u141, Java 7 inferiore alla versione 7u151, NSS inferiore alla 3.26. Agli utenti di distribuzioni precedenti basate su OpenSSL 1.0.2 vengono offerte tre soluzioni alternative per risolvere il problema:
Rimuovere manualmente il certificato radice IdenTrust DST Root CA X3 e installare il certificato radice ISRG Root X1 autonomo (non con firma incrociata);
L'opzione "--trusted_first" può essere specificata durante l'esecuzione dei comandi openssl verificare e s_client;
Utilizzare un certificato lato server firmato con un certificato SRG Root X1 autonomo che non è cross-signed.
2021-09-29 19:23:29
Autore: Vitalii Babkin