แจ้งเตือน root CA ของ AddTrust หมดอายุ เว็บจำนวนมากอาจมีปัญหากับไคลเอนต์เก่า

2020-05-30

วันนี้ (30 พฤษภาคม 2020) ใบรับรอง root CA ของ AddTrust (หมายเลขประจำตัวบน crt.sh เป็น 1) ถึงกำหนดหมดอายุหลังใช้งานมาแล้ว 20 ปี อาจส่งผลกระทบถึงใบรับรองจำนวนมากที่ cross-sign กับทาง AddTrust ไม่สามารถใช้งานได้กับไคลเอนต์เก่าๆ เช่น Ubuntu Trusty 14.04 เป็นต้น

กระบวนการ cross-sign เป็นกระบวนการที่ root CA รับรองใบรับรองที่ออกโดย root CA อื่น ผ่านการรับรอง intermediate CA หรือ CA ระดับกลางที่มีหน้าที่เซ็นรับรองใบรับรองเว็บต่างๆ โดยตรง (ดูภาพประกอบ) กรณีเช่นนี้แม้ root CA ตั้งใหม่จะยังไม่เป็นที่รู้จักโดยเบราว์เซอร์หรือระบบปฎิบัติการต่างๆ แต่ก็สามารถไปขอ cross-sign กับ root CA เดิมที่เป็นที่รู้จักก่อนหน้าแล้วได้ เช่น กรณีของ Let’s Encrypt ที่ออกใบรับรองฟรีทุกวันนี้ก็เริ่มจากการ cross-sign โดย IdenTrust

No Description

กรณีของ AddTrust มีผู้ออกใบรับรองรายใหญ่อย่าง Sectigo หรือ Comodo เดิมใช้บริการ cross-sign ไว้ และใบรับรองสำหรับการ cross-sign ก็หมดอายุไปพร้อมกัน กรณีเช่นนี้ทาง Sectigo ออกใบรับรองที่ cross-sign โดย “AAA1 Certificate Services” ที่ยังใช้งานได้ถึงปี 2028 อย่างไรก็ดีไคลเอนต์ที่มีปัญหากับเหตุการณ์นี้แทบทั้งหมดเป็นไคลเอนต์ที่หมดอายุซัพพอร์ตไปนานแล้ว ผู้ดูแลระบบก็อาจจะพิจารณาหยุดซัพพอร์ตอุปกรณ์เหล่านั้น

ที่มา – Sectigo