Am vergangen Samstag, dem 30. Mai, ist das TLS-Root-Zertifikat "AddTrust External Root CA" der Firma Sectigo (ehemals Comodo) wie geplant abgelaufen. Allerdings versuchen einige Clients durch eine fehlerhafte Implementierung weiterhin eine Zertifikatskette zu dem abgelaufenen Root-Zertifikat aufzubauen. Dann scheitern die Clients dabei und melden ein fehlerhaftes Zertifikat.

Sectigo besitzt und nutzt neuere Root-Zertifikate, die weiterhin gültig sind. Daher sollte das Ablaufen des Zertifikats kein Problem darstellen. Diesen Root-Zertifikaten vertrauen moderne Clients und nutzen automatisch Zertifikatsketten, die eben diese neueren Root-Zertifikate nutzen. Genau so verhalten sich alle verbreiteten Browser und sind daher nicht von dem Problem betroffen.

Allerdings ergibt sich aus einem Zwischenzertifikat (Intermediate Certificate), welches Server speziell für ältere Clients mit versenden, dieses Problem. Sehr alte Clients konnten über das Zwischenzertifikat eine Zertifikatskette zu dem betroffenen Root-Zertifikat "AddTrust External Root CA" aufbauen, da sie mangels Updates den neueren Root-Zertifikaten von Sectigo nicht vertrauten. Aus dem Jahr 2000 stammt "AddTrust External Root CA" und so konnten auch sehr alte Clients Verbindungen verifizieren. Nun ist auch das Zwischenzertifikat abgelaufen.

Betroffen von dem Problem scheinen offenbar ältere Versionen der Bibliotheken OpenSSL, LibreSSL und auch die aktuelle Version von GnuTLS zu sein. Werden diese Bibliotheken von Programmen genutzt, wird auch dann versucht, eine Kette über das abgelaufene Zwischenzertifikat aufzubauen, auch, wenn dies nicht nötig ist, da sie den neueren Root-Zertifikaten von Sectigo vertrauen.

"AddTrust External Root CA" sollte durch entsprechende Updates des Clients früher oder später auch automatisch von Systemen entfernt werden.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE