วันนี้ (30 พฤษภาคม 2020) ใบรับรอง root CA ของ AddTrust (หมายเลขประจำตัวบน crt.sh เป็น 1) ถึงกำหนดหมดอายุหลังใช้งานมาแล้ว 20 ปี อาจส่งผลกระทบถึงใบรับรองจำนวนมากที่ cross-sign กับทาง AddTrust ไม่สามารถใช้งานได้กับไคลเอนต์เก่าๆ เช่น Ubuntu Trusty 14.04 เป็นต้น
กระบวนการ cross-sign เป็นกระบวนการที่ root CA รับรองใบรับรองที่ออกโดย root CA อื่น ผ่านการรับรอง intermediate CA หรือ CA ระดับกลางที่มีหน้าที่เซ็นรับรองใบรับรองเว็บต่างๆ โดยตรง (ดูภาพประกอบ) กรณีเช่นนี้แม้ root CA ตั้งใหม่จะยังไม่เป็นที่รู้จักโดยเบราว์เซอร์หรือระบบปฎิบัติการต่างๆ แต่ก็สามารถไปขอ cross-sign กับ root CA เดิมที่เป็นที่รู้จักก่อนหน้าแล้วได้ เช่น กรณีของ Let's Encrypt ที่ออกใบรับรองฟรีทุกวันนี้ก็เริ่มจากการ cross-sign โดย IdenTrust
กรณีของ AddTrust มีผู้ออกใบรับรองรายใหญ่อย่าง Sectigo หรือ Comodo เดิมใช้บริการ cross-sign ไว้ และใบรับรองสำหรับการ cross-sign ก็หมดอายุไปพร้อมกัน กรณีเช่นนี้ทาง Sectigo ออกใบรับรองที่ cross-sign โดย "AAA1 Certificate Services" ที่ยังใช้งานได้ถึงปี 2028 อย่างไรก็ดีไคลเอนต์ที่มีปัญหากับเหตุการณ์นี้แทบทั้งหมดเป็นไคลเอนต์ที่หมดอายุซัพพอร์ตไปนานแล้ว ผู้ดูแลระบบก็อาจจะพิจารณาหยุดซัพพอร์ตอุปกรณ์เหล่านั้น
ที่มา - Sectigo
Comments
อันนี้คือเค้าเพิ่งมาแจ้งเตือนเอาวันที่หมดอายุเลยหรอครับ
Sectigo แจ้งเตือนตั้งแต่ ก.พ. แล้ว แต่คนที่ทำ reseller ไม่ได้แจ้งเตือนลูกค้าต่อ ก็เลยไม่ได้เปลี่ยนกัน แล้วปรกติมักจะสนใจแต่ certificate เฉพาะ domain ตัวเองที่รับผิดชอบ ไม่ได้ monitor พวก root CA พวกนี้เพิ่มเติมกัน ก็เป็นอย่างที่เห็น
แล้วผลกระทบก็เยอะเจอกันทั่วโลก เท่าที่เช็คก็วุ่นวายหลาย service มีปัญหาใช้งานไม่ได้เยอะมาก ตัวอย่างก็มี archive.raspberrypi.org ครับ
สดๆร้อนๆ XP เข้า pantip ไม่ได้
เปิดงานมาวันนี้ ผมงานเข้าเลยเหมือนกัน กับ Windows 7 / Windows Server 2008 R2 / Office 2010 / Office 2013 และ Browser บนเครื่องเหล่านั้นก็เข้าเว็บที่ใช้ AddTrust External Root CA ที่หมดอายุไม่ได้
เลยแก้ไขตามลิงค์นี้ไปแล้ว
https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020
ด้วยการ Import Cert 2 ตัวนั้น เข้า Default Domain Policy ไปเรียบร้อย