Проблемы, возникшие с истечением срока действия корневого сертификата Sectigo
Как стало известно, многие клиенты испытывают перебои в работе своих веб-сайтов или ошибки, вызванные истечением срока действия сертификата Sectigo (которое произошло 30 мая).
Если вы пользуетесь стандартным веб-сайтом или блогом с сертификатом SSL и по-прежнему видите привычный замочек в браузере, эта проблема, скорее всего, не затронет вас, и вам не нужно предпринимать никаких дальнейших действий. Ваш сайт должен нормально работать в современных браузерах.
Если на вашем веб-сайте или другом онлайн-сервисе используются другие приложения, такие как API, сURL, OpenSSL и т.д., могут возникнуть проблемы или сообщения об ошибке. Если у вас возникли какие-либо проблемы в работе ресурса или службы, или ваши посетители использующие браузеры старше 2015 года, сообщают о проблемах, вам необходимо принять меры для обновления службы.
В этой статье мы хотели бы поделиться с нашими клиентами более подробной информацией об инциденте и его причинах.
Что произошло?
Давайте начнем с объяснения того, как SSL-сертификаты используются различными приложениями. Всякий раз, когда приложение (например, браузер) связывается с веб-службой по протоколу SSL/TLS, веб-служба предоставляет приложению набор сертификатов. Затем приложение проверяет, были ли они выпущены для службы, к которой обращается приложение, а также, не истек ли срок действия сертификатов. Проверке подлежит также принадлежность сертификатов, то есть, были ли сертификаты подписаны доверенным центром сертификации.
Для проверки последнего приложение пытается связать предоставленные сертификаты с одним из сертификатов, содержащихся в хранилище доверенных корневых центров. Если все проверки пройдены, приложение продолжает связь по безопасному протоколу. Если нет, приложение либо сбрасывает соединение, либо информирует пользователя о потенциальных угрозах безопасности.
Корневой сертификат AddTrust External CA Root от Sectigo действовал в течение 20 лет до 30 мая 2020 года и считался устаревшим. Используя перекрестную сертификацию, центр сертификации выпустил несколько новых корневых сертификатов в 2010 году, которые действительны до 2038 года, чтобы заменить устаревший. Новые корневые сертификаты были распространены с помощью обновлений безопасности для большинства программных приложений, использующих протокол SSL / TLS. К середине 2015 года обновления составляли около 90% используемых приложений.
Однако данный сертификат, несмотря на наличие более новых, продолжал предоставляться с CA-комплектами, которые включали в себя внешний корневой центр сертификации AddTrust и либо USERTrust RSA Certification Authority, либо USERTrust ECC Certification Authority Intermediate, до 30 апреля 2020 года. Это совершалось с целью максимально широкого распространения, охватывалось даже устаревшие устройства и программы. В результате многие клиенты установили свои SSL-сертификаты вместе с CA-комплектом, срок действия которого должен был истечь до истечения срока сертификата конечного объекта (тот, который был выдан для домена).
Благодаря новым перекрестным подписанным корневым сертификатам все современные браузеры имеют как устаревшие, так и новые корневые сертификаты и автоматически переключаются на использование новых. Пользователи с этими браузерами не испытывали никаких проблем из-за истечения срока действия корневого сертификата AddTrust. Кроме того, истечение срока действия корневого сертификата не подвергало риску данные, передаваемые по защищенным соединениям.
Однако, когда речь заходит о приложениях, отличных от браузеров, использующих cURL, таких как библиотеки SSL / TLS различных языков программирования, включая клиенты OpenSSL 1.0.x и GnuTLS, начали возникать ошибки и сбои в работе.
Эти приложения часто используют пользовательские методы для проверки SSL-сертификатов. Они могут не полагаться на способ построения цепочки доверия в операционной системе и не могут перейти на использование новых корневых сертификатов автоматически. Такие приложения либо не имели новых корневых сертификатов, либо имели неверную логику проверки пути сертификата, либо были настроены так, чтобы доверять конкретно этому просроченному корневому каталогу. Для получения более подробной информации о пострадавших клиентах, можно изучить исследования Университета Карнеги – Меллона (https://www.cmu.edu/iso/service/cert-auth/addtrust.html).
Срок действия корневого сертификата сказался на работе следующих программ и клиентов:
-
Устаревшие клиенты, которые не получали обновления безопасности в 2015 году;
-
Apple Mac OS X 10.11 (El Capitan) или более ранняя;
-
Apple iOS 9 или более ранняя версия;
-
Google Android 5.0 или более ранняя версия;
-
Microsoft Windows Vista & 7, если функция обновления корневых сертификатов была отключена ранее июня 2010 г.;
-
Microsoft Windows XP, если автоматическое обновление не было установлено после июня 2010 года;
-
Mozilla Firefox 35 или более ранняя версия;
-
Oracle Java 8u50 или более ранняя версия;
-
Встроенные устройства (особенно копировальные аппараты), на которых не было установлено обновление прошивки от июня 2015 года;
-
Клиенты, настроенные на доверие одному из истекших корней;
-
Клиентское программное обеспечение на основе библиотеки OpenSSL до версии 1.1.1;
-
Некоторые клиенты OpenLDAP;
-
Java-приложения, которые не используют хранилище доверенных сертификатов по умолчанию;
-
Клиенты, использующие cURL;
-
Клиенты с настроенным оповещением через Pingdom или OpsGenie;
-
Приложения, к которым подключен любой из упомянутых выше клиентов по протоколу SSL / TLS.
В результате истечения срока действия различные службы не смогли инициировать безопасные соединения с другими службами или не могли получить доступ к службам.
Почему я не был предупрежден?
К сожалению, никто не мог предвидеть, что истечение срока действия корневого сертификата повлияет на стольких пользователей. Однако произошла недооценка ситуации.
Схема размышления была следующей: даже если на сервере установлен истекающий корневой сертификат, новые корни уже включены в хранилище доверенных сертификатов современных браузеров и операционных систем. Это означает, что когда конечный пользователь получает доступ к веб-сайту, цепочка сертификатов доверия будет построена из новых корневых сертификатов, исключая старый. Из-за этого никто не ожидал каких-либо проблем с современными системами (включая ОС, дистрибутивы и т.д.).
Как оказалось, была допущена ошибка и недооценка важность вопроса. Не были проведены достаточно тщательные расследования предмета. Специалисты, проводящие исследования в данном вопросе не осознавали, что устаревшие системы и приложения с настраиваемыми механизмами проверки сертификатов используются настолько широко.
Почему я получил просроченный CA-комплект для SSL, выпущенный в апреле?
Sectigo изменил CA-пакет, предоставляемый клиентам за 30 дней до истечения срока действия сертификата. Но из-за ошибки в системе компании Центры Сертификации продолжали предоставлять AddTrust External CA Root до момента истечения его срока, то есть до 30 мая.
Эта ошибка уже устранена, и теперь все клиенты получат современную цепочку при загрузке SSL со своей учетной записи.
Ошибка не повторится?
Понимая, что эта проблема доставила огромные неудобства многим клиентам, все компании, у чьих клиентов возникли ошибки, принесли свои извинения клиентам.
Чтобы предотвратить подобные проблемы в будущем был обновлен способ получения системой пакета CA от Sectigo. Это гарантирует, что из учетной записи пользователя будет загружаться только актуальная цепочка сертификатов без потери уровня производительности веб-сайта.
В будущем также планируется информировать наших клиентов о любых новостях и изменениях в Центре сертификации и индустрии SSL, чтобы снизить риски до того, как произойдет очередная ошибка.
Если у вас остались какие-либо вопросы или проблемы, не стесняйтесь обращаться в нашу службу поддержки.