Безліч старих різних електронних пристроїв 30 вересня втратять можливість підключення до деяких сайтів через закінчення часу роботи кореневого цифрового сертифіката identrust dst root ca x3, який використовувався для крос-підпису кореневого сертифіката засвідчує центру let’s encrypt (isrg root x1). В наслідок цього ряд застарілих систем перестануть довіряти сертифікатам, випущеним центром сертифікації let’s encrypt. Проблема може торкнутися мільйонів гаджетів по всьому світу.
Джерело зображення: 7news
Перехресний підпис забезпечував довіру до сертифікатів let’s encrypt на широкому спектрі пристроїв, операційних систем і браузерів в період інтеграції власного кореневого сертифіката let’s encrypt в сховища кореневих сертифікатів. Тим не менш, новий проміжний сертифікат isrg root x1 не охоплює багато інших застарілих систем. Наприклад, після старіння сертифіката dst root ca x3 30 вересня сертифікати let’s encrypt перестануть сприйматися у вже не підтримуваних прошивках і операційних системах, в яких для забезпечення довіри до сертифікатів let’s encrypt буде потрібно ручне додавання сертифіката isrg root x1 в сховище кореневих сертифікатів.
З проблемою можуть зіткнутися старі ноутбуки macbook на базі macos 10.12.0 і старіше, смартфони iphone і ipad, не здатні оновитися хоча б до ios 10, ігрові консолі playstation 3 і playstation 4 з версією прошивки старіше 5.00, а також nintendo 3ds, старі моделі смарт-телевізорів і iot-пристроїв, що використовуються в домашній мережі.
Також проблеми з мережевим підключенням можуть очікувати будь-який гаджет, який вимагає безпечного підключення до певного сервера. Деякі пристрої позбудуться доступу до тих же сервісів потокової передачі контенту, наприклад, до netflix. Проблеми можуть виникнути з поштовими сервісами та банківськими клієнтами.
У зоні ризику також знаходяться: користувачі пристроїв на базі android 2.3.6 і нижче, систем на базі windows xp service pack 2 (необхідна установка sp3), клієнтів openssl версії 1.0.2 і старіше, ubuntu версії нижче 16.04, debian нижче 8 версії, java 8 нижче версії 8u141, java 7 нижче версії 7u151, nss нижче 3.26 користувачам старих дистрибутивів, зав’язаних на openssl 1.0.2, пропонується три обхідних варіанти вирішення проблеми:
- вручну видалити кореневий сертифікат identrust dst root ca x3 і встановити відокремлений (не крос-підписаний) кореневий сертифікат isrg root x1;
- при запуску команд openssl verify і s_client можна вказати опцію “–trusted_first”;
- використовувати на сервері сертифікат, завірений відокремленим кореневим сертифікатом srg root x1, які не мають крос-підпису.
