Безліч різних старих електронних пристроїв 30 вересня втратить можливість підключення до багатьох сайтів через що минає терміну служби цифрового кореневого сертифіката IdenTrust DST Root CA X3, який використовувався для підпису сертифікатів, виданих центром Let’s Encrypt. Проблема може торкнутися мільйонів гаджетів по всьому світу.
Перехресний підпис забезпечувала довіру систем сертифікатами від Let’s Encrypt на широкому спектрі пристроїв, операційних систем і браузерів в період інтеграції власного кореневого сертифіката Let’s Encrypt в сховища кореневих сертифікатів. Проте, новий проміжний сертифікат ISRG Root X1 не охоплюють багато інших застарілих систем. Наприклад, після старіння DST Root CA X3, сертифікати Let’s Encrypt перестануть сприйматися в багатьох прошивках і операційних системах. Для забезпечення довіри сертифікатами Let’s Encrypt потрібно ручне додавання ISRG Root X1 в сховище кореневих сертифікатів.
З проблемою можуть зіткнутися ноутбуки MacBook на базі macOS 10.12.0 і старше, смартфони iPhone й iPad, які не здатні оновитися хоча б до iOS 10, ігрові консолі PlayStation 3 і PlayStation 4 з версією прошивки старіше 5.00, а також Nintendo 3DS, старі моделі смарт телевізорів і IoT-пристроїв, що використовуються в домашній мережі.
Також проблеми з підключенням можуть спостерігатися на будь-якому гаджеті, який вимагає безпечного підключення до певного сервера. Деякі пристрої втратять доступ до тих же сервісів потокової передачі контенту, наприклад, до Netflix. Проблеми можуть виникнути з поштовими сервісами та банківськими клієнтами.
У зоні ризику також перебувають: користувачі пристроїв на базі Android 2.3.6 і старше, систем на базі Windows XP Service Pack 2 (необхідна установка SP3), клієнтів OpenSSL версії 1.0.2 і старіша, Ubuntu версії нижче 16.04, Debian 8 і старше, Java 8 нижче версії 8u141, Java 7 нижче версії 7u151, NSS нижче 3.26. Користувачам старих дистрибутивів, зав’язаних на OpenSSL 1.0.2, пропонується три обхідних варіанти розв’язання проблеми:
- Вручну видалити кореневий сертифікат IdenTrust DST Root CA X3 і встановити окремий (НЕ крос-підписаний) кореневий сертифікат ISRG Root X1;
- При запуску команд openssl verify і s_client можна вказати опцію “–trusted_first”;
- Використовувати на сервері сертифікат, завірений відокремленим кореневим сертифікатом SRG Root X1, які не мають крос-підпису.