Tags:
Node Thumbnail

วันนี้ (30 พฤษภาคม 2020) ใบรับรอง root CA ของ AddTrust (หมายเลขประจำตัวบน crt.sh เป็น 1) ถึงกำหนดหมดอายุหลังใช้งานมาแล้ว 20 ปี อาจส่งผลกระทบถึงใบรับรองจำนวนมากที่ cross-sign กับทาง AddTrust ไม่สามารถใช้งานได้กับไคลเอนต์เก่าๆ เช่น Ubuntu Trusty 14.04 เป็นต้น

กระบวนการ cross-sign เป็นกระบวนการที่ root CA รับรองใบรับรองที่ออกโดย root CA อื่น ผ่านการรับรอง intermediate CA หรือ CA ระดับกลางที่มีหน้าที่เซ็นรับรองใบรับรองเว็บต่างๆ โดยตรง (ดูภาพประกอบ) กรณีเช่นนี้แม้ root CA ตั้งใหม่จะยังไม่เป็นที่รู้จักโดยเบราว์เซอร์หรือระบบปฎิบัติการต่างๆ แต่ก็สามารถไปขอ cross-sign กับ root CA เดิมที่เป็นที่รู้จักก่อนหน้าแล้วได้ เช่น กรณีของ Let's Encrypt ที่ออกใบรับรองฟรีทุกวันนี้ก็เริ่มจากการ cross-sign โดย IdenTrust

No Description

กรณีของ AddTrust มีผู้ออกใบรับรองรายใหญ่อย่าง Sectigo หรือ Comodo เดิมใช้บริการ cross-sign ไว้ และใบรับรองสำหรับการ cross-sign ก็หมดอายุไปพร้อมกัน กรณีเช่นนี้ทาง Sectigo ออกใบรับรองที่ cross-sign โดย "AAA1 Certificate Services" ที่ยังใช้งานได้ถึงปี 2028 อย่างไรก็ดีไคลเอนต์ที่มีปัญหากับเหตุการณ์นี้แทบทั้งหมดเป็นไคลเอนต์ที่หมดอายุซัพพอร์ตไปนานแล้ว ผู้ดูแลระบบก็อาจจะพิจารณาหยุดซัพพอร์ตอุปกรณ์เหล่านั้น

ที่มา - Sectigo

Get latest news from Blognone

Comments

By: burnburn
iPhoneWindows
on 31 May 2020 - 07:58 #1160727
burnburn's picture

อันนี้คือเค้าเพิ่งมาแจ้งเตือนเอาวันที่หมดอายุเลยหรอครับ

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 31 May 2020 - 09:28 #1160733 Reply to:1160727
Ford AntiTrust's picture

Sectigo แจ้งเตือนตั้งแต่ ก.พ. แล้ว แต่คนที่ทำ reseller ไม่ได้แจ้งเตือนลูกค้าต่อ ก็เลยไม่ได้เปลี่ยนกัน แล้วปรกติมักจะสนใจแต่ certificate เฉพาะ domain ตัวเองที่รับผิดชอบ ไม่ได้ monitor พวก root CA พวกนี้เพิ่มเติมกัน ก็เป็นอย่างที่เห็น

แล้วผลกระทบก็เยอะเจอกันทั่วโลก เท่าที่เช็คก็วุ่นวายหลาย service มีปัญหาใช้งานไม่ได้เยอะมาก ตัวอย่างก็มี archive.raspberrypi.org ครับ

By: gjkllb01
Windows
on 31 May 2020 - 11:18 #1160740

สดๆร้อนๆ XP เข้า pantip ไม่ได้

By: chollathee
AndroidSymbianWindows
on 1 June 2020 - 10:25 #1160843

เปิดงานมาวันนี้ ผมงานเข้าเลยเหมือนกัน กับ Windows 7 / Windows Server 2008 R2 / Office 2010 / Office 2013 และ Browser บนเครื่องเหล่านั้นก็เข้าเว็บที่ใช้ AddTrust External Root CA ที่หมดอายุไม่ได้

เลยแก้ไขตามลิงค์นี้ไปแล้ว
https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020

ด้วยการ Import Cert 2 ตัวนั้น เข้า Default Domain Policy ไปเรียบร้อย