Muitos dispositivos eletrônicos antigos diferentes não serão mais capazes de se conectar a muitos sites em 30 de setembro devido à expiração do certificado de raiz digital IdenTrust DST Root CA X3, que foi usado para assinar certificados emitidos por Let's Encrypt. O problema pode afetar milhões de gadgets em todo o mundo.
A assinatura cruzada garantiu que os sistemas possam confiar nos certificados Let's Encrypt em uma ampla gama de dispositivos, sistemas operacionais e navegadores, ao mesmo tempo em que integra o próprio certificado raiz do Let's Encrypt em armazenamentos de certificados raiz. No entanto, o novo certificado intermediário ISRG Root X1 não cobre muitos outros sistemas legados. Por exemplo, depois que o DST Root CA X3 for descontinuado, os certificados Let's Encrypt não serão mais aceitos em muitos firmware e sistemas operacionais. Para garantir que os certificados Let's Encrypt sejam confiáveis, você precisará adicionar manualmente o ISRG Root X1 ao armazenamento de certificados raiz.
Laptops MacBook baseados em macOS 10.12.0 e anteriores, smartphones iPhone e iPad que não são capazes de atualizar para pelo menos iOS 10, PlayStation 3 e consoles de jogos PlayStation 4 com firmware anterior a 5.00, bem como Nintendo 3DS, smart -TVs antigas e dispositivos IoT usados na rede doméstica.
Além disso, problemas de conexão podem ser observados em qualquer dispositivo que requeira uma conexão segura com um servidor específico. Alguns dispositivos perderão o acesso aos mesmos serviços de streaming, como o Netflix. Podem surgir problemas com serviços postais e clientes bancários.
Em risco também estão: usuários de dispositivos baseados no Android 2.3.6 e anteriores, sistemas baseados no Windows XP Service Pack 2 (SP3 deve ser instalado), clientes OpenSSL versão 1.0.2 e anteriores, versões do Ubuntu inferiores a 16.04, Debian 8 e mais antigo, Java 8 abaixo da versão 8u141, Java 7 abaixo da versão 7u151, NSS abaixo de 3.26. Os usuários de distribuições mais antigas baseadas no OpenSSL 1.0.2 recebem três soluções alternativas para resolver o problema:
Remova manualmente o certificado raiz IdenTrust DST Root CA X3 e instale o certificado raiz ISRG Root X1 autônomo (sem assinatura cruzada);
A opção "--trusted_first" pode ser especificada ao executar os comandos openssl verify e s_client;
Use um certificado do lado do servidor assinado com um certificado SRG Root X1 autônomo que não seja assinado de forma cruzada.
2021-09-29 19:23:29
Autor: Vitalii Babkin