↓
 ↑
Регистрация
Имя/email

Пароль

 
Войти при помощи
Marlagram
1 октября 2021
Aa Aa
По мотивам этого поста келли малфой и новостей (а так же своей любви к старому железу) вынесу.
Проблема устаревших корневых сертификатов. На очереди Let's Encrypt и умные телевизоры
...
Чтобы браузер мог аутентифицировать веб-сайт, тот представляет себя действительной цепочкой сертификатов. Типичная цепочка показана сверху, в ней может быть больше одного промежуточного сертификата. Минимальное количество сертификатов в действительной цепочке равно трём.

Корневой сертификат — сердце центра сертификации. Он буквально встроен в вашу ОС или браузер, он физически присутствует на вашем устройстве. Его не поменяешь со стороны сервера. Нужно принудительное обновление ОС или встроенного ПО на устройстве.
...
Такая ситуация возникла 30 мая 2020 года в 10:48:38 GMT. Это точное время, когда протух корневой сертификат AddTrust от центра сертификации Comodo (Sectigo).

Он использовался для перекрёстной подписи, чтобы обеспечить совместимость с устаревшими устройствами, в хранилище которых нет нового корневого сертификата USERTrust.

К сожалению, проблемы возникли не только в устаревших браузерах, но и в небраузерных клиентах на базе OpenSSL 1.0.x, LibreSSL и GnuTLS. Например, в телевизионных приставках Roku, сервисе Heroku, в приложениях Fortinet, Chargify, на платформе .NET Core 2.0 под Linux и многих других.

Предполагалось, что проблема затронет только устаревшие системы (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 и т.п.), поскольку современные браузеры могут задействовать второй корневой сертификат USERTRust. Но по факту начались сбои в сотнях веб-сервисов, которые использовали свободные библиотеки OpenSSL 1.0.x и GnuTLS. Безопасное соединение перестало устанавливаться с выводом ошибки об устаревании сертификата.
...
Для проверки, что на вашем устройстве (телевизор, приставка или другой клиент) установлен корень ISRG X1, откройте тестовый сайт https://valid-isrgrootx1.letsencrypt.org/ . Если не появляется предупреждение безопасности, то обычно всё в порядке.
...
Из комментов:
...
Подтвердил проблему у себя на Android 5. Обновлений от вендора нет. Решение:

* Качаем новый сертификат c https://letsencrypt.org/certificates/,
* конвертируем PEM → DER, чтобы понял даже Android, как-то так:
* wget -O - 'https://letsencrypt.org/certs/isrgrootx1.pem.txt' \
| openssl x509 -in - -inform PEM -outform DER -out isrgroot.der

* переносим полученный файл на Android-устройство;
* на нём же: Настройки → Безопасность → Установка с SD-карты, выбираем файл с сертификатом, озаглавливаем по вкусу, добавляем в хранилище;

* PROFIT!
...
первые два пункта для владельцев венды:

* запустить certmgr.msc
* открыть trusted root CA/certificates/ISRG Root X1
* перейти на вкладку details
* нажать кнопку copy to file
* формат DER (расширение файла .cer)
* ввести имя файла
...
Два моих старых «дажеандроида», 4.4 и 6.0, напрочь отказались принимать в формате DER (файл серым цветом, недоступен для выбора), а в формате PEM — пожалуйста. В общем, не забываем про метод тыка.

Имеется побочный эффект — при установленном пользовательском сертификате система требует запароленную разблокировку экрана.
...
В общем, всё сложно - кое-где пишут про рут, а яблочники вообще будут страдать.

С другой стороны, всегда есть Огнелис - браузер Firefox в отличии от Хрома таскает сертификаты безопасности сам, и обновляется как сам, так и в ручном режиме при необходимости без всяких там рутов.

30 сентября: Let's Encrypt и конец срока действия IdenTrust DST Root CA X3
...
30 сентября 2021 14:01:15 GMT оканчивается срок действия корневого сертификата IdenTrust DST Root CA X3.

Это событие достойно вашего внимания по той причине, что после наступления этого момента ряд устаревших систем перестанут доверять сертификатам, выпущенным центром сертификации Let’s Encrypt. С учётом того, что на текущий момент Let's Encrypt предоставляет бесплатные криптографические сертификаты примерно для 250 миллионов доменных имен, а "устаревшие системы" - это порой системы возрастом всего 5-6 лет, вряд ли окончание срока действия сертификата DST Root CA X3 пройдёт для всех гладко и незаметно.
...
Срок действия DST Root CA X3 подходит к концу 30 сентября 2021 14:01:15 GMT, что произойдет после этого?

Те системы, которые не доверяют ISRG Root X1, перестанут доверять сертификатам, выпущенным Let's encrypt (системы будут выдавать предупреждения при посещении сайтов, использующих сертификаты Let's Encrypt). За исключением Android >= v2.3.6, т.к. Android не учитывает срок действия своих доверенных корневых сертификатов.

Проблема с доверием возникнет так же у систем, использующих OpenSSL версии меньше 1.1.0. Даже если у таких систем ISRG Root X1 входит в список доверенных сертификатов, особенность проверки сертификата в OpenSSL 1.0.x приведёт к тому, что наличие в цепочке истекшего DST Root CA X3, несмотря на наличие доверия к ISRG Root X1, будет приводить к отрицательному результату проверки на доверие. Аналогичная проблема у OpenSSL 1.0.x возникла 20 мая 2020 года с истекшим сертификатом AddTrust External CA Root.
...
Кстати, у Битриксов и node.js по некоторым версиям - тяжёлые проблемы, там в коде жёстко зашито...

Срок действия корневого сертификата Let's Encrypt истек. Миллионы устройств останутся без интернета
...
Истечение срока действия сертификата может повлиять на устройства, которые не обновляются регулярно, например встроенные системы, не предназначенные для автоматического обновления, или смартфоны с устаревшими версиями программного обеспечения. Пользователи более старых версий macOS 2016 и Windows XP (с пакетом обновления 3) могут столкнуться с проблемами вместе с клиентами, зависящими от OpenSSL 1.0.2 или более ранней версии, а также более старыми PlayStation, которые не были обновлены до новой прошивки.

У Android существует проблема с обновлениями ОС, но в Let’s Encrypt нашли обходной путь, который может предотвратить проблемы с большинством смартфонов. В этом году организация перешла на собственный сертификат ISRG Root X1, срок действия истекает в 2035 году. Хотя многие устройства Android до сих пор не доверяют этому сертификату, а именно версии Android (Nougat) 7.1.1 и более ранние, Let's Encrypt получил сертификат перекрестной подписи. Таким образом, большинство устройств Android должны исправно работать еще в течение трех лет.
...
Технический директор хостинг-провайдера и регистратора доменов REG.RU Александр Хакимов отмечает, что сложности с выходом в Сеть могут возникнуть у пользователей смартфонов iPhone и планшетов iPad, которые невозможно обновить до iOS 10, а также у обладателей ноутбуков MacBook с macOS 10.12.0 и более старых версий ОС.
...

PS
Ошибка ERR CERT DATE INVALID Let's Encrypt — что делать?
Для обновления/установки сертификата на Windows выполните следующие шаги:

1. Скачайте обновленный корневой сертификат — ссылка, а также еще один наиболее популярный для сайтов сертификат: ссылка.

2. Нажмите 2 раза на файл isrgrootx1.der. У вас откроется окно с информацией о сертификате.

3. Нажмите на кнопку «Установить сертификат»:

4. В открывшимся окне выберите «Далее»:

5. Это очень важный пункт. У вас откроется окно импорта. Выберите «Поместить все сертификаты в следующее хранилище» (ниже на скриншоте под цифрой 1).Нажмите «Обзор...». Выберите пункт «Доверенные корневые центры сертификации» (отмечено цифрой 2). Важно выбрать именно этот пункт. Нажмите «Ок»:

6. Проверьте, чтобы все выглядело, как на скриншоте и нажмите «Далее».

7. Подтвердите завершение импорта кнопкой «Готово»:

8. Вы увидите предупреждение, что будет добавлен корневой сертификат. Обязательно нажмите «Да».

9. В конце вы увидите сообщение о успешном импорте:

Все готово! Теперь вы можете посещать сайты, которые были ранее недоступны из-за ошибки сертификата!

Также рекомендуем повторить эти пункты и для другого скачанного по ссылке выше файла «USERTrustRSACertificationAuthority.crl». Ведь это второй по популярности корневой сертификат, который уже давно не обновлялся.

Обновив указанные сертификаты на вашем Android-устройстве, Mac или других девайсах, вы продолжите посещать любимые сайты в привычном режиме.

#хабр
1 октября 2021
5 комментариев
Спасибо! Вчера у меня похожим образом ругался QGis - что было странно, так как я его сетевые возможности не использую вообще. Правда он все равно работал. Но неплохо бы разобраться, в чем дело.
Читая посты Марлаграма я уже по привычке переношу сказанное на реалии ДДГ. )))
Шлейф давно устаревших сертификатов тянущийся за собой необходимость в устаревших дроидах, и наоборот.
Кластера, где все завязано на устаревший сертификат, и техника из другого кластера будет слишком геморойной в использовании.
И хакеры...
Asteroid
И Великая Ресинхронизация открывается с совершенно особой стороны, кстати!
А что за проблемы с макосью? Я уже давно не имел дела, но вроде бы как раньше всё было просто - дабл-клик на *.cer, импорт в keychain, а там просто "always trust".

Блин, надо будет к тёще заскочить, у неё хакинтош с древним el capitan, сертификаты обновить.
Мне сегодня что то настроили, через файрфокс рабочий сайт меня пускает, потом переделывать будут
ПОИСК
ФАНФИКОВ











Закрыть
Закрыть
Закрыть