Een Sectigo-rootcertificaat verloopt; wat houdt dat in voor jouw SSL-certificaat?

Gebruik jij nog echte oldschool software of heb je nooit het nut gezien van je besturingssysteem upgraden? Dan zou je na 30 mei zomaar websites met een Sectigo SSL-certificaat niet meer kunnen gebruiken. Het Sectigo Addtrust External CA-rootcertificaat, dat nu vooral gebruikt wordt voor cross-signing met andere Sectigo-certificaten, verloopt op 30 mei. Dit gaat invloed hebben op gebruikers van oudere besturingssystemen en browsers. Wat houdt het precies in, wat voor invloed heeft het daadwerkelijk en op wie, en wat kun je zelf doen?

Even een stap terug: wat is een rootcertificaat?

Een rootcertificaat is onderdeel van de zogenaamde chain of trust waardoor een SSL-certificaat vertrouwd kan worden door een browser of software. Dat werkt als volgt: een SSL-certificaat wordt uitgegeven op jouw (domein)naam door een verkopende partij. Deze partij mag wel certificaten verkopen, maar maakt ze over het algemeen niet zelf aan. Dat doet de certificaatautoriteit of CA op een intermediate certificaat, die je bij het installeren van je certificaat op jouw server ook moet installeren. Dit intermediate certificaat koppelt jouw certificaat aan het rootcertificaat van de CA, die onderin de chain of trust staat als een anker.

Het rootcertificaat is de link tussen jouw certificaat (via het intermediate certificaat) en een lijst met roots die wordt opgeslagen in je browser of besturingssysteem. Een certificaat wordt alleen als geldig gezien, wanneer het rootcertificaat dat in het intermediate staat ook voorkomt in die lijst. Zo niet, dan geeft je browser een waarschuwing en kun je mogelijkerwijs een website niet meer bekijken.

Wat is cross-signing?

Een CA geeft certificaten uit op meerdere roots. Dit doen ze om het risico te verspreiden mocht een rootcertificaat wegvallen, maar ook omdat certificaten nou eenmaal verlopen, zelfs als het rootcertificaten zijn. In het geval van Sectigo worden certificaten tegenwoordig uitgegeven op bijvoorbeeld het COMODO RSA Certification Authority- en het USERTrust RSA Certification Authority-rootcertificaat. Wanneer een besturingssysteem of browser verouderd is, kan het dus voorkomen dat de lijst met rootcertificaten deze nieuwe rootcertificaten nog niet bevat. Om die reden wordt er gebruikgemaakt van cross-signingcertificaten. Deze worden opgenomen in de chain of trust en verwijzen naar andere rootcertificaten. Bij het terugkijken langs de chain of trust kan de browser of het besturingssysteem dan zelf controleren of er een rootcertificaat in staat die wel in hun lijst voorkomt.

Waarom werkt het Addtrust External CA-rootcertificaat straks niet meer?

Simpel gezegd: omdat het verloopt. Het Addtrust External CA-rootcertificaat is oorspronkelijk uitgegeven op 30 mei 2000 en verloopt op 30 mei 2020. Vanaf dat moment zal het certificaat dus niet meer gebruikt kunnen worden voor cross-signing certificaten. Voor nieuwere besturingssystemen en browsers zal dat geen problemen veroorzaken: die bevatten de nieuwere rootcertificaten en kunnen dus daarop verifiëren. Maar oudere browsers en besturingssystemen, zoals Firefox 35 of iOS 10, kunnen dat niet en moeten dus doorverwijzen naar het cross-signed Addtrust External CA-rootcertificaat. Als dat certificaat is verlopen, geeft de verouderde software een foutmelding.

Onderstaande lijst werd opgesteld door Sectigo en bevat alle minimale versies van software die dit probleem niet zullen ondervinden. Alle browsers en besturingssystemen die ouder zijn dan deze versies bevatten de nieuwe rootcertificaten nog niet en kunnen na 30 mei dus foutmeldingen geven.

Apple:

• macOS Sierra 10.12.1 Public Beta 2
• iOS 10

Microsoft:

• Windows XP
• Windows Phone 7

Mozilla:

• Firefox 3.0.4
• Firefox 36

Google:

• Android 2.3
• Android 5.1

Oracle:

• Java JRE 8u51

Opera:

• Browserreleases na december 2012

360 Browser:

• SE 10.1.1550.0 en Extreme browser 11.0.2031.0

Wat kan ik doen?

Mocht je nu bang zijn dat jouw certificaat niet meer geldig is: geen zorgen. De rootcertificaten die nog wel gewoon geldig zijn, zijn dat nog tot 2038. Omdat er op dit moment geen SSL-certificaten meer worden uitgegeven met een looptijd van langer dan 2 jaar, bevat jouw SSL-certificaat sowieso ook een van deze nieuwe roots en wordt hij door up-to-date browsers en besturingssystemen gewoon als geldig gezien. Maar gebruik je verouderde software, dan zou je zomaar tegen foutmeldingen aan kunnen lopen omdat het enige bekende rootcertificaat uit de chain waarop het kan verifiëren dus verlopen is.

De eerste oplossing ligt daarom bij jezelf: als je nog werkt met verouderde browsersoftware of besturingssystemen, probeer deze dan voor 30 mei te updaten. Werk je op een platform dat de trust stores in de browser of het besturingssysteem heeft gelimiteerd of die niet automatisch geüpdatet worden, doe dit dan zo snel mogelijk handmatig. Wanneer je het AddTrust External CA-rootcertificaat in jouw applicatie of apparaat hebt opgenomen, zul je deze zo snel mogelijk moeten vervangen door het USERTrust RSA rootcertificaat.

Daarnaast heeft Sectigo een testomgeving opgezet die je kunt gebruiken om te controleren of jouw setup problemen gaat geven. Je zult hiervoor de klok in jouw besturingssysteem even moeten aanpassen naar een datum na 1 juni 2020.

Wil je meer weten? Lees dan vooral het support-artikel van Sectigo zelf nog even door, of stel je vraag aan onze supportafdeling via het controlepaneel in je TransIP-account.