Das Veralten des Wurzelzertifikats von IdenTrust wird dazu fĂŒhren, dass das Vertrauen in Let's Encrypt auf Ă€lteren GerĂ€ten verloren geht.

Am 30. September um 17:01 Moskauer Zeit lĂ€uft die GĂŒltigkeit des Root-Zertifikats von IdenTrust (DST Root CA X3) ab, das zur Kreuzsignierung des Root-Zertifikats der Zertifizierungsstelle Let’s Encrypt (ISRG Root X1) verwendet wurde, die von der Gemeinschaft kontrolliert wird und allen Interessierten kostenlos Zertifikate zur VerfĂŒgung stellt. Die Kreuzsignierung gewĂ€hrte Vertrauen in die Zertifikate von Let’s Encrypt auf einer breiten Palette von GerĂ€ten, Betriebssystemen und Browsern wĂ€hrend der Integration des eigenen Root-Zertifikats von Let’s Encrypt in die Root-Zertifikatsspeicher.

UrsprĂŒnglich war geplant, dass nach dem Ablauf von DST Root CA X3 das Projekt Let’s Encrypt auf die Erstellung von Signaturen ausschließlich mit seinem eigenen Root-Zertifikat umstellt. Dieser Schritt hĂ€tte jedoch zu einem Verlust der KompatibilitĂ€t mit vielen alten Systemen gefĂŒhrt, die das Root-Zertifikat von Let’s Encrypt nicht in ihren Speichern hinzugefĂŒgt haben. Insbesondere etwa 30 % der verwendeten Android-GerĂ€te verfĂŒgen nicht ĂŒber Informationen zum Root-Zertifikat von Let’s Encrypt, dessen UnterstĂŒtzung erst mit der Plattform Android 7.1.1 verfĂŒgbar wurde, die Ende 2016 veröffentlicht wurde.

Let’s Encrypt hatte nicht geplant, eine neue Vereinbarung zur Cross-Signatur abzuschließen, da dies zusĂ€tzliche Verantwortung fĂŒr die Teilnehmer der Vereinbarung mit sich bringt, die Autonomie einschrĂ€nkt und die Einhaltung aller Verfahren und Regeln eines anderen Zertifizierungsanbieters behindert. Aufgrund potenzieller Probleme bei vielen Android-GerĂ€ten wurde der Plan jedoch ĂŒberarbeitet. Mit der Zertifizierungsstelle IdenTrust wurde eine neue Vereinbarung getroffen, die ein alternatives Cross-signiertes Zwischenzertifikat von Let’s Encrypt umfasst. Diese Cross-Signatur wird drei Jahre lang gĂŒltig sein und die UnterstĂŒtzung von Android-GerĂ€ten ab Version 2.3.6 gewĂ€hrleisten.

Dennoch deckt das neue Zwischenzertifikat viele andere veraltete Systeme nicht ab. Beispielsweise werden nach der Ablauffrist des Zertifikats DST Root CA X3 am 30. September die Zertifikate von Let’s Encrypt in bereits nicht mehr unterstĂŒtzten Firmware-Versionen und Betriebssystemen nicht mehr akzeptiert, in denen zur Vertrauensbildung fĂŒr Let’s Encrypt-Zertifikate die manuelle EinfĂŒgung des Zertifikats ISRG Root X1 in den Speicher der Root-Zertifikate erforderlich ist. Die Probleme werden sich zeigen in:

  • OpenSSL bis einschließlich Version 1.0.2 (der Support fĂŒr die Version 1.0.2 wurde im Dezember 2019 eingestellt);
  • NSS < 3.26;
  • Java 8 < 8u141, Java 7 < 7u151;
  • Windows < XP SP3;
  • macOS < 10.12.1;
  • iOS < 10 (iPhone < 5);
  • Android < 2.3.6;
  • Mozilla Firefox < 50;
  • Ubuntu < 16.04;
  • Debian < 8.

Bei OpenSSL 1.0.2 wird das Problem durch einen Fehler verursacht, der eine korrekte Verarbeitung von cross-signierten Zertifikaten verhindert, wenn eines der betroffenen Root-Zertifikate ablĂ€uft, auch wenn andere gĂŒltige Vertrauensketten bestehen bleiben. Das Problem trat erstmals im letzten Jahr auf, nachdem das AddTrust-Zertifikat, das fĂŒr die Cross-Signatur in den Zertifikaten der Zertifizierungsstelle Sectigo (Comodo) verwendet wurde, abgelaufen war. Das Hauptproblem besteht darin, dass OpenSSL das Zertifikat als lineare Kette interpretierte, wĂ€hrend gemĂ€ĂŸ RFC 4158 das Zertifikat einen gerichteten verteilten azyklischen Graphen mit mehreren Vertrauensankern darstellen kann, die berĂŒcksichtigt werden mĂŒssen.

Benutzern Ă€lterer Distributionen, die auf OpenSSL 1.0.2 basieren, werden drei alternative Lösungen fĂŒr das Problem angeboten:

  • Manuell entfernen Sie das Root-Zertifikat IdenTrust DST Root CA X3 und installieren Sie das separate (nicht cross-signierte) Root-Zertifikat ISRG Root X1.
  • Beim AusfĂŒhren der Befehle openssl verify und s_client kann die Option „—trusted_first“ angegeben werden.
  • Verwenden auf Server das Zertifikat, das von dem separaten Root-Zertifikat SRG Root X1 ohne Cross-Signatur ausgestellt wurde. Diese Methode fĂŒhrt zu einem Verlust der KompatibilitĂ€t mit Ă€lteren Android-Clients.

ZusĂ€tzlich kann man erwĂ€hnen, dass das Projekt Let’s Encrypt die Grenze von zwei Milliarden generierten Zertifikaten ĂŒberschreitet. Die Grenze von einer Milliarde wurde im Februar des vergangenen Jahres erreicht. TĂ€glich werden 2,2 bis 2,4 Millionen neue Zertifikate generiert. Die Anzahl aktiver Zertifikate betrĂ€gt 192 Millionen (das Zertifikat ist drei Monate gĂŒltig) und umfasst etwa 260 Millionen DomĂ€nen (vor einem Jahr waren es 195 Millionen Domains, vor zwei Jahren 150 Millionen, vor drei Jahren 60 Millionen). Laut Statistiken des Firefox Telemetry-Dienstes betrĂ€gt der weltweite Anteil an HTTPS-Seitenaufrufen 82 % (vor einem Jahr 81 %, vor zwei Jahren 77 %, vor drei Jahren 69 %, vor vier Jahren 58 %).

Quelle: opennet.ru

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster