Термін кореневого сертифіката IdenTrust закінчується: що й коли зламається?

У четвер, 30 вересня 2021 року закінчується термін дії кореневого сертифіката IdenTrust (DST Root CA X3), який зараз використовує Let’s Encrypt. Експерти кажуть, що це призведе до виходу з ладу ряду пристроїв. Якими насправді можуть бути наслідки?

Один з найбільших постачальників сертифікатів HTTPS Let’s Encrypt перестане використовувати старий кореневий сертифікат вже 30 вересня. Це означає, що вам, швидше за все, буде потрібно оновити свої пристрої, щоб уникнути негативних наслідків.

Читати про системи моніторингу ІТ інфраструктури на нашому сайті IT Education Blog.

* Let’s Encrypt — безплатний і автоматизований Центр сертифікації. Організація допомагає людям безплатно випускати SSL/TLS сертифікати для їх сайтів з доступом по HTTPS.

Трохи історії

Всі сертифікати, які забезпечують роботу HTTPS в інтернеті, видаються Центром сертифікації. Це довірена організація, яка розпізнається вашим пристроєм/ОС. Такі сертифікати вбудовані в вашу ОС і зазвичай оновлюються як частина звичайного процесу оновлення вашої ОС. Сертифікат, який насправді може викликати проблеми — IdenTrust (DST Root CA X3).

Як повідомляє дослідник безпеки Скотт Гельм, термін дії цього сертифікату закінчиться о 2 годині дня:

       Validity

            Not Before: Sep 30 21:12:19 2000 GMT

            Not After: Sep 30 14:01:15 2021 GMT

Після закінчення терміну дії цього кореневого сертифіката клієнти, такі як веббраузери, більше не будуть довіряти жодному сертифікату, виданому цим ЦС.

Суть проблеми

Let’s Encrypt — безплатна некомерційна організація. Вона видає сертифікати, які шифрують з’єднання між вашими пристроями та інтернетом. Вони гарантують, що ніхто не зможе перехопити та вкрасти ваші дані на шляху. Переважній більшості користувачів сайтів нема про що турбуватися, і 30 вересня буде звичайним днем для них. Однак власники старих пристроїв можуть зіткнутися з деякими проблемами. Наприклад, коли в травні закінчився термін дії AddTrust External CA Root, від збоїв постраждали: Stripe, Red Hat і Roku

Закінчення строку дії сертифіката може вплинути на пристрої, що не оновлюються регулярно, наприклад вбудовані системи або смартфони з застарілими версіями ПЗ. Користувачі старіших версій macOS 2016 і Windows XP (до SP 3) можуть зіткнутися з проблемами разом з клієнтами, які залежать від OpenSSL 1.0.2 або більш ранньої версії. Android, за словами Let’s Encrypt, має проблему з оновленнями ОС. В цьому році організація перейшла на власний сертифікат ISRG Root X1, термін дії якого не закінчиться до 2035 року. Це означає, що більшість пристроїв Android повинні залишатися справними.

Ми підготували порівняння Manjaro та Ubuntu в нашій статті на IT Education Blog.

За словами Let’s Encrypt, на деяких пристроях Android все-таки можуть виникати проблеми, і користувачам, які працюють під управлінням Android (Lollipop) 5.0, рекомендується встановити Firefox.

Проблеми швидше за все з’являться у:

  • OpenSSL до гілки 1.0.2 включно (супровід гілки 1.0.2 було припинено в грудні 2019 року);
  • NSS менше 3.26;
  • Java 8 менше 8u141, 
  • Java 7 менше 7u151;
  • Windows менше XP SP3;
  • macOS менше 10.12.1;
  • iOS менше ніж 10 (iPhone менш як 5);
  • Android менше 2.3.6;
  • Mozilla Firefox менше ніж 50;
  • Ubuntu менше 16.04;
  • Debian менш як 8.

Підсумок

Після закінчення терміну дії сертифіката IdenTrust (DST Root CA X3) проблеми виникнуть у тих користувачів, які використовують старі пристрої. Вони зіткнуться з тим, що не зможуть коректно відкривати та використовувати сайти з сертифікатами Let’s Encrypt. 

До кінця не відомо, як саме, але обов’язково “щось десь зламається”.

Авторські курси від навчального центру – IT Education Center

Залишити відповідь

Дякуємо, що поділились