Устаревание сертификата AddTrust привело к сбоям в интернете

Срок действия корневого сертификата AddTrust, обеспечивающего совместимость с устаревшими устройствами, истек 30 мая. Это привело к нарушению работы инфраструктур, использующих шифрованные каналы связи для взаимодействия между компонентами.

В субботу, 30 мая истек 20-летний срок действия корневого сертификата AddTrust, который применялся для формирования перекрёстной подписи (cross-signed) в сертификатах одного из крупнейших удостоверяющих центров Sectigo (Comodo), сообщает портал OpenNET.

Перекрестная подпись обеспечивала совместимость с устаревшими устройствами. И теоретически прекращение действия корневого сертификата AddTrust должно было привести лишь к нарушению совместимости с устаревшими системами (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9). Но на практике обнаружились неожиданные сложности.

Как отмечают эксперты, обнаружились проблемы с проверкой перекрёстной подписи в не использующих браузеры TLS-клиентах, в том числе на базе OpenSSL 1.0.x и GnuTLS. Безопасное соединение перестало устанавливаться с выводом ошибки об устаревании сертификата, если на сервере используется сертификат Sectigo, связанный цепочкой доверия с корневым сертификатом AddTrust.

Если пользователи современных браузеров не заметили устаревания корневого сертификата AddTrust при обработке перекрестно подписанных сертификатов Sectigo, то в различных сторонних приложениях и серверных обработчиках начали всплывать проблемы, что привело к нарушению работы многих инфраструктур, использующих шифрованные каналы связи для взаимодействия между компонентами.