Das AddTrust Root Certificate ist abgelaufen

Das AddTrust Root Certificate ist abgelaufen

Kurz-Beschreibung

Sectigo signiert, mit seinem Certificate Authority (CA) Zertifikat, SSL Zertifikate für Server. Dafür wird Sectigo selbst von USERTrust RSA signiert. „USERTrust RSA“ wurde zuvor von „AddTrust External CA“ signiert, was jedoch inzwischen nicht mehr Notwendig ist, da „USERTrust RSA“ selbst eine allgemein gültige Root CA ist. Bei vielen Sectigo-Zertifikaten ist in der Chain noch ein USERTrust Zertifikat, welches von AddTrust signiert wurde und am 30.5.2020 abgelaufen ist.

 

Problem

Eigentlich sollte es kein Problem geben, da moderne Browser bzw. openssl ab Version 1.1.x automatisch erkennen, dass Sectigo von einer gültigen Root-CA signiert wurde. Sie ignorieren die abgelaufene Chain einfach.

Ein Problem gibt es nur, wenn ein alter Client im Spiel ist. Die Lösung sollte in erster Linie Updates des Clients sein. Wenn dies jedoch nicht möglich ist, gibt es zwei Workarounds.

Beispiele:

  • Ein Newsletter-Tool beschwert sich, weil es die Chain nicht prüfen kann.
  • Ein Modul am Server kann sich nicht zu seiner API verbinden, weil der Server zu alt ist und openssl 1.0.x in Verwendung ist.
  • SSL Checker zeigt: „One of the root or intermediate certificates has expired (3 days ago).“
  • Selbst ein aktueller Browser kann die Webseite nicht aufrufen, weil eine Firewall sich dazwischen schaltet und zu alt ist um die korrekte Chain zu erkennen.

Falls Sie Unterstützung benötigen, um das Problem so schnell wie möglich zu beheben, zögern sie nicht uns einfach zu kontaktieren: support@toscom.at

Workarounds:

1. Serverseitig

Über die folgende URL kann die Certificate Chain überprüft werden:

https://whatsmychaincert.com/

Sollte alles passen, sieht das Ergebnis so aus:

<hostname> has the correct chain.

Falls angezeigt wird, dass die Chain ein „expired certificate“ enthält, kann man im Chain-Certificate File am Server das abgelaufene CA Zertifikat entfernen, bzw. die ganze Chain einfach neu überschreiben.

Das Chain File findet man auf Apache Servern üblicherweise so:

# Ubuntu
grep -r SSLCertificatChainFile /etc/apache2/
# RHEL/CentOS
grep -r SSLCertificateChainFile /etc/httpd/

Bei Nginx Servern steckt die gesamte Chain üblicherweise nach dem eigentlichen Zertifikat in der selben Datei:

grep -r ssl_certificate /etc/nginx/

Um die korrekte Chain zu generieren, gibt es auf https://whatsmychaincert.com/ zwei Möglichkeiten:

    1. Ein Feld, in dem man das aktuelle Zertifikat eintragen und auf „Generate Chain“ klicken kann.
    2. Ein Feld, in dem man nur den Hostnamen eintragen muss, um anschließend auf „Generate Chain“ zu klicken.

In beiden Fällen sollte „Include Root Certificate“ deaktiviert bleiben.

Mit dem Inhalt des heruntergeladenen Chain Zertifikats kann man dann das Chain File am Server überschreiben und das Service (apache2, nginx, etc.) restarten.

 

2. Clientseitig

Wenn es nicht möglich ist, die Software zu aktualisieren, man jedoch trotzdem Zugriff auf den Client hat, dann ist es möglich, die abgelaufene Root-CA zu deaktivieren.

Dafür muss man in /etc/ca-certificates.conf vor die folgende Zeile ein Rufzeichen machen:

!mozilla/AddTrust_External_Root.crt

Und anschließend diesen Befehl ausführen:

update-ca-certificates

Dadurch sollte die fehlerhafte Root-CA zukünftig ignoriert werden.

 

Details

https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen