AddTrust Root-CA-Zertifikat / Debian 8, Ubuntu 16

Hallo,

weil uns derzeit immer wieder Anfragen dazu erreichen: am 30.05.2020 ist das weit verbreitete Root-CA-Zertifikat "AddTrust External CA Root" abgelaufen.

In zwei Fällen ist das eventuell ein Problem:

1. wenn man (fälschlicherweise) eben dieses Root-CA-Zertifikat als Intermediate-Zertifikat hinzugefügt hat. In diesem Fall wird das abgelaufene Zertifikat mit ausgeliefert, was je nach Client Probleme machen kann (moderne Browser sollten sowas aber ignorieren)
2. wenn der Server noch OpenSSL 1.0.x verwendet; in diesem Fall liefert die Prüfung der Zertifikatskette einen Fehler, wenn da "ganz oben" ein abgelaufenes Zertifikat sitzt (auch wenn das eigentliche SSL-Zertifikat von einer inzwischen akzeptierten CA ausgestellt ist)

Wer Debian 8 oder Ubuntu 16 einsetzt, sollte das (abgelaufene) Root-CA-Zertifikat aus dem Trust-Store entfernen, damit cURL etc. serverseitig keine Probleme machen. Hierzu die Datei /etc/ca-certificates.conf öffnen und ein Ausrufezeichen ("!") an den Beginn der Zeile von "mozilla/AddTrust_External_Root.crt" setzen:

[...]
[B]![/B]mozilla/AddTrust_External_Root.crt
[...]

Anschließend den Befehl update-ca-certificates ausführen.

Zu den falsch konfigurierten Zwischenzertifikaten: wir erweitern LiveConfig aktuell, dass es beim Start alle SSL-Intermediates prüft und auf abgelaufene Zwischenzertifikate oder fälschlicherweise konfigurierte Root-CA-Zertifikate hinweist.
Ursprünglich wollten wir diese auch automatisch löschen, das ist aber nicht ganz trivial, da eventuelle Ketten damit ungewollt unterbrochen werden könnten. Wir lassen uns da aber auch etwas einfallen.

Viele Grüße

-Klaus Keppler

Hmm, die Idee über "Authority Information Access" die Zwischenzertifikate abzurufen ist interessant. Werden wir mal im Auge behalten.

LiveConfig hat ja ohnehin einen Mechanismus, um Zertifikatsketten selbständig zu erkennen (Tabelle SSLINTERMEDIATES). Bis v2.8 war das automatisch aktiviert, mit dem komplett neuen SSL-Backend in v2.8 war das leider inaktiv, mit v2.10 schalten wir das aber wieder ein. Wenn man ein Zertifikat manuell hinzufügt, prüft LC ob die erforderlichen Zwischenzertifikate schon bekannt sind, und holt diese ggf automatisch aus dessen Cache. Neu ist, dass abgelaufene Intermediate-Zertifikate im Cache nun nicht mehr berücksichtigt werden (eigentlich logisch, aber offenbar gab's diesen Fall bislang noch nicht wirklich).

Zu jedem SSL-/TLS-Zertifikat prüft LiveConfig in v2.10 nun den frühesten Ablauf-Zeitpunkt aller hinterlegten Chain-Zertifikate. Ist dieser erreicht, wird das Zertifikat in LC auch als "abgelaufen" markiert; in der SSL-Verwaltung kann man über die Filter-Option "abgelaufene Zertifikate" eine entsprechende Liste abrufen. Mit Klick auf das Zertifikat wird dann bei den Zwischenzertifikaten auch angezeigt, welches Zertifikat abgelaufen ist.

Beim ersten Start von LiveConfig v2.10 wird in /var/log/liveconfig/liveconfig.log auch protokolliert, welche Zertifikate ein abgelaufenes Intermediate enthalten.

Das Update (v2.10.0-dev20200603) wird im Laufe des Nachmittags bereitgestellt, voraussichtlich morgen soll die v2.10 dann auch als "stable" rausgehen.

Viele Grüße

-Klaus Keppler