Vanaf 30 mei 2020 kan je in de problemen komen als je oude apparatuur gebruikt; behalve dat je kwetsbaar bent voor criminelen kan je straks wellicht niet meer e-mailen, website bezoeken en werken applicaties niet meer. Op die datum zal namelijk een veelgebruikt root certificaat van Sectigo (voorheen Comodo) verlopen. Het betreft het “Addtrust External CA” certificaat welke geldig is tot mei 2020 en dit kan problemen opleveren voor oude devices. In deze blog leggen we uit wat de impact kan zijn en wat je kan doen om het voor te zijn.
Wat is het probleem?
Het AddTrust External CA Root certificaat is al vanaf 30 mei 2000 actief en door de jaren heen een breed ondersteund root certificaat geworden. Om de overgang naar een nieuw root certificaat mogelijk te maken zijn de certificaten afgelopen jaren reeds door zowel het oude als nieuwe root certificaat ondertekend (gecrossigned). Het nieuwe root certificaat (RSA USERTrust CA) is geldig tot mei 2038. Nieuwe devices hebben dit nieuwe root certificaat standaard geïnstalleerd staan waardoor de overgang zonder problemen zal verlopen. Het kan echter voorkomen dat legacy devices (oudere devices die een zogenaamde “End-of-Life”-status hebben, geen updates meer krijgen) dit nieuwe certificaat niet kennen. Op deze apparaten zullen vanaf 30 mei foutmeldingen gegenereerd worden en zullen sommige applicaties niet meer (correct) werken. Daarnaast zijn er een aantal oude systemen zoals MacOS 10.11 (en lager) alsmede sommige android apparaten die het nieuwe certificaat niet ondersteunen (zie onderstaande lijst).
Hoe werkt een root certificaat?
Hiervoor moeten we een klein beetje de technische kant op zoeken van het mechanisme van SSL-certificaten. Het root certificaat is het begin van de ‘chain of trust’ waarop een SSL-certificaat wordt uitgegeven. Het rootcertificaat behoort toe aan een Certificate Authority (CA), zoals Sectigo. Aan de hand van het rootcertificaat worden intermediate certificaten uitgegeven die weer de mogelijkheid bieden tot het registreren van SSL-certificaten voor eindgebruikers. Elke browser of service die gebruik maakt van SSL-certificaten bevat een lijst met goedgekeurde rootcertificaten. Bij het bezoeken van een website met SSL-verbinding, wordt de geldigheid van een certificaat gecontroleerd door de fingerprints van het certificaat en de bijbehorende intermediate certificaten te controleren, totdat de fingerprint van het rootcertificaat is bereikt. De identiteit van de verschillende CA's zit in de browsers ingebakken, middels root certificaten van de CA. Zonder dit root certificaat heeft de browser geen reden om een door de CA uitgegeven SSL-certificaat te aanvaarden. Bij het verlopen van het root certificaat wordt de chain of trust verbroken waardoor je automatisch een foutmelding krijgt. Het is uiteraard mogelijk om de foutmelding weg te klikken, maar daarmee geef je gelijk een belangrijk deel van jouw beveiliging op; de foutmelding is er niet voor niets en door weg te klikken, wordt je kwetsbaar voor criminelen.
Hoe kun je testen of jouw systeem een probleem heeft?
Er is een simpele test waarmee je kan kijken of jouw device een probleem heeft. Hiervoor moet je de klok van jouw device verzetten naar juni 2020 en vervolgens een website benaderen die gebruik maakt van een SSL-certificaat (bijvoorbeeld een website van een bank). Geen foutmelding? Niets aan de hand… wel een foutmelding? Dan zit je in de problemen!
Tevens kan de volgende site worden gebruikt om te testen: http://testsites.test.certificatetest.com/
Wat te doen als jouw systeem een probleem heeft?
Als eerste is het belangrijk dat jouw device volledig is bijgewerkt met de laatste updates en patches.
Indien het certificaat dan nog niet werkt is de device en/of Operating System te oud en dient het root certificaat handmatig te worden toegevoegd. Let op: dit is slechts een lapmiddel voor dit ene probleem. Het niet bij kunnen werken met de laatste updates en patches, zorgt er namelijk in de praktijk voor dat je kwetsbaar bent voor cybercriminelen.
En dus?
Schakel hulp in! De handmatige fix werkt voor dit specifieke probleem, maar het is van belang dat de betrokken devices worden vervangen voor nieuwere versies die minder kwetsbaar zijn; dus met volledige support, updates en patches. Dit hoeft overigens geen zware investering te zijn; ook de hardware voor werkstations kan tegenwoordig in een maandelijkse vergoeding in lease-constructie afgenomen worden. Voor hulp of meer informatie over het vervangen van hardware; neem contact met ons op middels onderstaand formulier.
Welke besturingssystemen zijn compatible?
Onderstaande lijst is de oudste versie van besturingssystemen die wel compatible zijn met de generieke oplossing. Zit je lager, dan adviseren we je contact met ons op te nemen.
Apple:
• macOS Sierra 10.12.1 Public Beta 2
• iOS 10
Microsoft:
• Windows XP (via Automatic Root Update, mits geheel up to date)
• Windows Phone 7
Mozilla:
• Firefox 3.0.4 (COMODO ECC Certification Authority)
• Firefox 36 (the other 3 roots)
Google:
• Android 2.3 (COMODO ECC Certification Authority)
• Android 5.1 (the other 3 roots)
Oracle:
• Java JRE 8u51
Opera:
• [Browser release on December 2012]
360 Browser:
• SE 10.1.1550.0 and Extreme browser 11.0.2031.0
Let op: dit is slechts een algemene richtlijn. Uitzonderingen zijn mogelijk en deze lijst kan niet als definitief worden beschouwd.