Am vergangen Samstag, dem 30. Mai, ist das TLS-Root-Zertifikat
"AddTrust External Root CA" der Firma Sectigo
(ehemals Comodo) wie geplant abgelaufen. Allerdings versuchen einige
Clients durch eine fehlerhafte Implementierung weiterhin eine Zertifikatskette
zu dem abgelaufenen Root-Zertifikat aufzubauen. Dann scheitern die
Clients dabei und melden ein fehlerhaftes Zertifikat.
Sectigo besitzt und nutzt neuere Root-Zertifikate,
die weiterhin gültig sind. Daher sollte das Ablaufen des Zertifikats
kein Problem darstellen. Diesen Root-Zertifikaten vertrauen moderne
Clients und nutzen automatisch Zertifikatsketten, die eben diese
neueren Root-Zertifikate nutzen. Genau so verhalten sich alle verbreiteten
Browser und sind daher nicht von dem Problem betroffen.
Allerdings ergibt sich aus einem Zwischenzertifikat (Intermediate
Certificate), welches Server speziell für ältere Clients
mit versenden, dieses Problem. Sehr alte Clients konnten über
das Zwischenzertifikat eine Zertifikatskette zu dem betroffenen
Root-Zertifikat "AddTrust External Root CA" aufbauen,
da sie mangels Updates den neueren Root-Zertifikaten von Sectigo
nicht vertrauten. Aus dem Jahr 2000 stammt "AddTrust External
Root CA" und so konnten auch sehr alte Clients Verbindungen
verifizieren. Nun ist auch das Zwischenzertifikat abgelaufen.
Betroffen von dem Problem scheinen offenbar ältere Versionen
der Bibliotheken OpenSSL,
LibreSSL und auch die aktuelle Version von GnuTLS zu sein. Werden
diese Bibliotheken von Programmen genutzt, wird auch dann versucht,
eine Kette über das abgelaufene Zwischenzertifikat aufzubauen,
auch, wenn dies nicht nötig ist, da sie den neueren Root-Zertifikaten
von Sectigo vertrauen.
"AddTrust External Root CA" sollte durch entsprechende
Updates des Clients früher oder später auch automatisch
von Systemen entfernt werden.
(ts, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|