Срок корневого сертификата IdenTrust истекает: когда и что сломается?

В четверг, 30 сентября 2021 года истекает срок действия корневого сертификата IdenTrust (DST Root CA X3), который сейчас использует Let’s Encrypt. Эксперты говорят, что это приведёт к поломке устройств. Какими на самом деле могут быть последствия?

Один из крупнейших поставщиков сертификатов HTTPS Let’s Encrypt перестанет использовать старый корневой сертификат 30 сентября. Это означает, что вам, скорее всего, потребуется обновить свои устройства, чтобы избежать негативных последствий.

* Let’s Encrypt — бесплатный и автоматизированный Центр сертификации. Организация помогает людям бесплатно выпускать SSL/TLS сертификаты для их сайтов с доступом по HTTPS.

Предыстория

Все сертификаты, которые обеспечивают работу HTTPS в интернете, выдаются Центром сертификации. Это доверенная организация, которая распознаётся вашим устройством/ОС. Такие сертификаты встроены в вашу ОС и обычно обновляются как часть обычного процесса обновления вашей ОС. Сертификат, который может вызвать проблемы — IdenTrust (DST Root CA X3).

Как сообщает исследователь безопасности Скотт Хельм, срок действия этого сертификата истечёт в 2 часа дня:

       Validity

            Not Before: Sep 30 21:12:19 2000 GMT

            Not After : Sep 30 14:01:15 2021 GMT

По истечении срока действия этого корневого сертификата, клиенты, такие как веб-браузеры, больше не будут доверять сертификатам, выпущенным этим ЦС.

В чём боль?

Let’s Encrypt — бесплатная некоммерческая организация. Она выдаёт сертификаты, которые шифруют соединения между вашими устройствами и интернетом. Они гарантируют, что никто не сможет перехватить и украсть ваши данные по пути.

Подавляющему большинству пользователей сайтов не о чем беспокоиться, и 30 сентября будет обычным днём для них. Однако владельцы старых устройств могут столкнуться с некоторыми проблемами. Например, когда в мае истек срок действия AddTrust External CA Root, от сбоев пострадали: Stripe, Red Hat и Roku.

Истечение срока действия сертификата может повлиять на устройства, которые не обновляются регулярно, например встроенные системы или смартфоны с устаревшими версиями ПО. Пользователи более старых версий macOS 2016 и Windows XP (до SP 3) могут столкнуться с проблемами вместе с клиентами, которые зависят от OpenSSL 1.0.2 или более ранней версии. Android, по словам Let’s Encrypt, имеет проблему с обновлениями ОС. В этом году организация перешла на собственный сертификат ISRG Root X1, срок действия которого не истечёт до 2035 года. Это означает, что большинство устройств Android должны оставаться исправными.

По словам Let’s Encrypt, на некоторых устройствах Android по-прежнему могут возникать проблемы, и пользователям, которые работают под управлением Android (Lollipop) 5.0, рекомендуется установить Firefox.

Проблемы скорее всего проявляться у:

  • OpenSSL до ветки 1.0.2 включительно (сопровождение ветки 1.0.2 было прекращено в декабре 2019 года);
  • NSS меньше 3.26;
  • Java 8 меньше 8u141, 
  • Java 7 меньше 7u151;
  • Windows меньше XP SP3;
  • macOS меньше 10.12.1;
  • iOS меньше 10 (iPhone меньше 5);
  • Android меньше 2.3.6;
  • Mozilla Firefox меньше 50;
  • Ubuntu меньше 16.04;
  • Debian меньше 8.

Итог

После окончания срока действия сертификата IdenTrust (DST Root CA X3) проблемы возникнут у тех пользователей, которые используют старые устройства. Они столкнутся с тем, что не смогут корректно открывать и использовать сайты с сертификатами Let’s Encrypt. 

До конца не известно, как именно, но обязательно “что-то где-то сломается”.

Добавить комментарий

Спасибо, что поделились