Let'sEncryptによって発行された証明書の署名に使用されたIdenTrustDSTルートCAX3デジタルルート証明書の有効期限が切れるため、9月30日に多くの異なる古い電子デバイスが多くのサイトに接続できなくなります。この問題は、世界中の何百万ものガジェットに影響を与える可能性があります。
クロス署名により、システムは、Let's Encryptの独自のルート証明書をルート証明書ストアに統合しながら、さまざまなデバイス、オペレーティングシステム、およびブラウザーでLet'sEncrypt証明書を信頼できるようになりました。ただし、新しいISRGルートX1中間証明書は、他の多くのレガシーシステムをカバーしていません。たとえば、DSTルートCA X3が非推奨になると、Let'sEncrypt証明書は多くのファームウェアおよびオペレーティングシステムで受け入れられなくなります。 Let's Encrypt証明書が信頼できることを確認するには、ISRGルートX1をルート証明書ストアに手動で追加する必要があります。
macOS 10.12.0以前に基づくMacBookラップトップ、5.00より古いファームウェアを搭載したiOS 10、PlayStation 3、PlayStation 4以上のゲームコンソールにアップデートできないiPhoneおよびiPadスマートフォン、ニンテンドー3DS、古いスマートTVおよびホームネットワークで使用されるIoTデバイス。
また、接続の問題は、特定のサーバーへの安全な接続を必要とするガジェットで観察される可能性があります。 Netflixなど、一部のデバイスは同じストリーミングサービスにアクセスできなくなります。郵便サービスや銀行のクライアントで問題が発生する可能性があります。
Android 2.3.6以前に基づくデバイスのユーザー、Windows XP Service Pack 2(SP3をインストールする必要があります)に基づくシステム、OpenSSLクライアントバージョン1.0.2以前、Ubuntuバージョン16.04より前、Debian8および古い、バージョン8u141より前のJava 8、バージョン7u151より前のJava 7、3.26より前のNSS。 OpenSSL 1.0.2に基づく古いディストリビューションのユーザーには、問題を解決するための3つの回避策が提供されます。
IdenTrustDSTルートCAX3ルート証明書を手動で削除し、スタンドアロン(クロス署名されていない)ISRGルートX1ルート証明書をインストールします。
「--trusted_first」オプションは、opensslverifyおよびs_clientコマンドを実行するときに指定できます。
相互署名されていないスタンドアロンSRGルートX1証明書で署名されたサーバー側証明書を使用します。
2021-09-29 19:23:29
著者: Vitalii Babkin