Hechingen, 02.06.2020

CA Zertfikat SchlossSeit dem 30.05.2020 verursacht ein planmäßig abgelaufenes Root-Zertifikat "AddTrust RootCA" für Probleme, weil einige Clients per Zertifikatskette weiterhin erreichen. Ältere Clients oder auch Firewalls blockieren aber den Zugriff mit einer Warnung!

Wer ist betroffen?

Wer mit einem aktuellen Browser (jünger als 2 Jahre) unterwegs ist und keinen Proxy/Firewall nutzt, wird von dem Problem nicht betroffen sein. Der Browser nutzt sogenannten Root-Zertifikate bzw. Zertifikatsketten und springt automatisch auf den Server des Ausstellers und bekommt von dort ein gültiges Zertifikat.

Ist das Gerät jedoch älter und hat das Root-Zertifikat noch nicht im Speicher, wird die Seite aus Sicherheitsgründen blockiert. Häufig sind das auch mobile Geräte, bei denen keine Updates mehr vom Anbieter angeboten werden.

Android zum Beispiel bietet hier in der Regel maximal 2 Jahre Updates für die Geräte, Apple immerhin rund 5 Jahre. Windowsmaschinen, die nicht mehr aktualisiert werden (Windows 7, XP usw.), lassen den Zugriff auf die Seiten mit diesen Zertifikaten und älterem Browser ebenso wenig zu. Hier könnte die Installation eines aktuellen Browsers wie Firefox, Chrome oder Safari helfen.

Wie wirkt sich das Problem aus?

Auch andere Clients mit älteren Versionen der OpenSSL und LibreSSL Bibliotheken sind betroffen, sogar die aktuelle Version von GnuTLS. Werden diese nun von Programmen verwendet, die diese Bibliotheken benutzen, versuchen diese über das abgelaufene Zwischenzertifikat die Kette aufzubauen, auch wenn das nicht möglich ist.

Versucht man nun mit einem älteren Gerät oder auch über eine Firewall oder Proxy eine Webseite mit einem solchen abgelaufenen TLS-Root-Zertifikat "AddTrust External Root CA" der Firma Sectigo, ehemals Comodo) aufzurufen, wird dem Root-Zertifikat nicht vertraut und erhält einen Zertifikatsfehler, aus dem leider nicht immer hervorgeht, welches Zertifikat abgelaufen ist.

Wie sieht die Lösung aus für Webseitenbetreiber aus?

Als Kunde von za-internet GmbH muss man nichts weiter unternehmen. Unsere Spezialisten arbeiten mit Hochdruck daran, auf den Webservern die Konfigurationen nach und nach so anzupassen, dass der Fehler damit nicht mehr auftritt. Hier wird das fehlerhafte bzw. abgelaufene Zertifikat für Ihre Seiten mit einem gültigen Zertifikat ausgetauscht. Da nicht alle Seiten auf einem Server betroffen sind, müssen hier jedoch vorab einige Prüfungen durchgeführt werden.

Alternativ werden auch Lösungen im Internet diskutiert, bei denen das Rootzertifikat auch einfach entfernt wird. Das hat jedoch zur Folge, dass nur Programme, die auch mit Zertifikatsketten arbeiten können funktionieren. Manche Clients oder auch Firewalls oder Proxys sind dazu leider auch nicht in der Lage und das Problem besteht weiter.

Sind Sie betroffen?

Wenn Sie als Kunde der za-internet GmbH betroffen sind und den Fehler auf Ihrer Seite festgestellt haben, sollte der Fehler spätestens am 03.06.2020 behoben sein. Falls der Fehler auf Ihren Seiten dann noch immer auftritt, können Sie sich gerne bei unserem Support melden!

Hier finden Sie den Link zum Artikel von Sectigo:  https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020

 

Ihre za-internet GmbH 

 


Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.

Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.