Let's Encrypt에서 발급한 인증서에 서명하는 데 사용된 IdenTrust DST Root CA X3 디지털 루트 인증서가 만료되어 9월 30일에 많은 다른 오래된 전자 장치를 더 이상 여러 사이트에 연결할 수 없습니다. 이 문제는 전 세계 수백만 개의 가제트에 영향을 줄 수 있습니다.
교차 서명을 통해 시스템은 Let's Encrypt의 자체 루트 인증서를 루트 인증서 저장소에 통합하면서 광범위한 장치, 운영 체제 및 브라우저에서 Let's Encrypt 인증서를 신뢰할 수 있습니다. 그러나 새로운 ISRG 루트 X1 중간 인증서는 다른 많은 레거시 시스템을 다루지 않습니다. 예를 들어, DST 루트 CA X3가 더 이상 사용되지 않으면 Let's Encrypt 인증서는 더 이상 많은 펌웨어 및 운영 체제에서 허용되지 않습니다. Let's Encrypt 인증서를 신뢰할 수 있도록 하려면 ISRG Root X1을 루트 인증서 저장소에 수동으로 추가해야 합니다.
macOS 10.12.0 및 이전 버전 기반 MacBook 노트북, iOS 10 이상으로 업데이트할 수 없는 iPhone 및 iPad 스마트폰, 5.00 이전 펌웨어가 설치된 PlayStation 3 및 PlayStation 4 게임 콘솔, Nintendo 3DS, 구형 스마트 TV 및 홈 네트워크에서 사용되는 IoT 장치.
또한 특정 서버에 대한 보안 연결이 필요한 모든 가젯에서 연결 문제가 관찰될 수 있습니다. 일부 장치는 Netflix와 같은 동일한 스트리밍 서비스에 액세스할 수 없습니다. 우편 서비스 및 은행 고객에게 문제가 발생할 수 있습니다.
Android 2.3.6 이하 기반 장치 사용자, Windows XP 서비스 팩 2 기반 시스템(SP3이 설치되어 있어야 함), OpenSSL 클라이언트 버전 1.0.2 이하, Ubuntu 버전 16.04 미만, Debian 8 및 이전 버전, Java 8 미만 버전 8u141, Java 7 미만 버전 7u151, NSS 3.26 미만. OpenSSL 1.0.2를 기반으로 하는 이전 배포의 사용자에게는 문제를 해결하기 위한 세 가지 해결 방법이 제공됩니다.
IdenTrust DST 루트 CA X3 루트 인증서를 수동으로 제거하고 독립 실행형(교차 서명되지 않은) ISRG 루트 X1 루트 인증서를 설치합니다.
"--trusted_first" 옵션은 openssl verify 및 s_client 명령을 실행할 때 지정할 수 있습니다.
교차 서명되지 않은 독립 실행형 SRG Root X1 인증서로 서명된 서버 측 인증서를 사용하십시오.
2021-09-29 19:23:29
작가: Vitalii Babkin