Множество старых различных электронных устройств 30 сентября утратят возможность подключения к некоторым сайтам из-за истекающего времени работы корневого цифрового сертификата IdenTrust DST Root CA X3, который использовался для кросс-подписи корневого сертификата удостоверяющего центра Let's Encrypt (ISRG Root X1). В следствие этого ряд устаревших систем перестанут доверять сертификатам, выпущенным центром сертификации Let’s Encrypt. Проблема может коснуться миллионов гаджетов по всему миру.
Перекрёстная подпись обеспечивала доверие к сертификатам Let's Encrypt на широком спектре устройств, операционных систем и браузеров в период интеграции собственного корневого сертификата Let's Encrypt в хранилища корневых сертификатов. Тем не менее, новый промежуточный сертификат ISRG Root X1 не охватывает многие другие устаревшие системы. Например, после устаревания сертификата DST Root CA X3 30 сентября сертификаты Let's Encrypt перестанут восприниматься в уже не поддерживаемых прошивках и операционных системах, в которых для обеспечения доверия к сертификатам Let's Encrypt потребуется ручное добавление сертификата ISRG Root X1 в хранилище корневых сертификатов.
С проблемой могут столкнуться старые ноутбуки MacBook на базе macOS 10.12.0 и старее, смартфоны iPhone и iPad, не способные обновиться хотя бы до iOS 10, игровые консоли PlayStation 3 и PlayStation 4 с версией прошивки старее 5.00, а также Nintendo 3DS, старые модели смарт-телевизоров и IoT-устройств, использующихся в домашней сети.
Также проблемы с сетевым подключением могут ожидать любой гаджет, который требует безопасного подключения к определённому серверу. Некоторые устройства лишатся доступа к тем же сервисам потоковой передачи контента, например, к Netflix. Проблемы могут возникнуть с почтовыми сервисами и банковскими клиентами.
В зоне риска также находятся: пользователи устройств на базе Android 2.3.6 и ниже, систем на базе Windows XP Service Pack 2 (необходима установка SP3), клиентов OpenSSL версии 1.0.2 и старее, Ubuntu версии ниже 16.04, Debian ниже 8 версии, Java 8 ниже версии 8u141, Java 7 ниже версии 7u151, NSS ниже 3.26 Пользователям старых дистрибутивов, завязанных на OpenSSL 1.0.2, предлагается три обходных варианта решения проблемы:
Перекрёстная подпись обеспечивала доверие к сертификатам Let's Encrypt на широком спектре устройств, операционных систем и браузеров в период интеграции собственного корневого сертификата Let's Encrypt в хранилища корневых сертификатов. Тем не менее, новый промежуточный сертификат ISRG Root X1 не охватывает многие другие устаревшие системы. Например, после устаревания сертификата DST Root CA X3 30 сентября сертификаты Let's Encrypt перестанут восприниматься в уже не поддерживаемых прошивках и операционных системах, в которых для обеспечения доверия к сертификатам Let's Encrypt потребуется ручное добавление сертификата ISRG Root X1 в хранилище корневых сертификатов.
С проблемой могут столкнуться старые ноутбуки MacBook на базе macOS 10.12.0 и старее, смартфоны iPhone и iPad, не способные обновиться хотя бы до iOS 10, игровые консоли PlayStation 3 и PlayStation 4 с версией прошивки старее 5.00, а также Nintendo 3DS, старые модели смарт-телевизоров и IoT-устройств, использующихся в домашней сети.
Также проблемы с сетевым подключением могут ожидать любой гаджет, который требует безопасного подключения к определённому серверу. Некоторые устройства лишатся доступа к тем же сервисам потоковой передачи контента, например, к Netflix. Проблемы могут возникнуть с почтовыми сервисами и банковскими клиентами.
В зоне риска также находятся: пользователи устройств на базе Android 2.3.6 и ниже, систем на базе Windows XP Service Pack 2 (необходима установка SP3), клиентов OpenSSL версии 1.0.2 и старее, Ubuntu версии ниже 16.04, Debian ниже 8 версии, Java 8 ниже версии 8u141, Java 7 ниже версии 7u151, NSS ниже 3.26 Пользователям старых дистрибутивов, завязанных на OpenSSL 1.0.2, предлагается три обходных варианта решения проблемы:
- Вручную удалить корневой сертификат IdenTrust DST Root CA X3 и установить обособленный (не кросс-подписанный) корневой сертификат ISRG Root X1;
- При запуске команд openssl verify и s_client можно указать опцию "--trusted_first";
- Использовать на сервере сертификат, заверенный обособленным корневым сертификатом SRG Root X1, не имеющим кросс-подписи.
- 7News
- Habr
- opennet.ru