Il 30 maggio il certificato AddTrust External CA Root di Sectigo è scaduto, causando dei problemi e interruzioni di servizio a molti applicativi. Anche se la tua applicazione web è protetta da un certificato SSL e vedi il lucchetto nel tuo browser, potresti essere incorso in questa problematica, specialmente se utilizzi integrazioni come come API, cURL o OpenSSL.
Cos’è successo con Sectigo?
Il protocollo SSL/TLS permette la protezione client-server dei dati che non potranno essere letti o utilizzati da terzi senza l’apposita chiave di decrittazione privata. Ogni volta che un’applicazione contatta un servizio web tramite questo protocollo, l’applicazione stessa verifica che i certificati siano stati emessi per il servizio a cui l’applicazione sta accedendo, che non siano scaduti e che siano stati firmati da un’autorità di certificazione attendibile (Certificate Authority, CA).
Per verificare quest’ultimo step, l’applicazione tenta di collegare i certificati forniti a uno di quelli contenuti nel suo archivio di fiducia che è distribuito insieme al sistema operativo, al browser o embeddato nell’applicazione. Quando i controlli vengono validati, l’applicazione inizia la comunicazione tramite il protocollo sicuro SSL/TLS.
Il certificato AddTrust External CA Root di Sectigo, conosciuto precedentemente come Comodo, era stato emesso con una validità di 20 anni, fino al 30 maggio 2020, ed era già considerato come legacy, cioè da sostituire. Sectigo già nel 2010 aveva sostituito questo certificato con una nuova coppia di certificati che sono tutt’ora validi fino all’anno 2038.
Utilizzando la certificazione incrociata, la CA ha emesso una coppia di nuovi certificati Root nel 2010, validi fino al 2038, per sostituire i legacy Root.
I nuovi certificati di Root erano già stati inclusi negli aggiornamenti di sicurezza che vengono rilasciati da tutti i maggiori vendor (Microsoft, Apple, ecc) che utilizzavano applicazioni con questa funzionalità.
Sectigo ha continuato ad emettere i nuovi certificati SSL utilizzando AddTrust External CA Root e USERTrust RSA CA o USERTrust ECC CA Intermediate, in maniera tale da assicurarsi che non ci fossero problemi di compatibilità con i dispositivi vecchi.
Ad ogni modo, avendo introdotto i certificati Root cross-signed, tutti i browser con gli ultimi aggiornamenti hanno automaticamente garantito le funzionalità per non avere problemi in questo senso. Come abbiamo anticipato prima la maggior parte delle problematiche che abbiamo riscontrato con i nostri utenti sono state causate ad esempio da chiamate API tramite l’applicativo cURL.
Queste applicazioni come cURL spesso utilizzano metodi di validazione dei certificati personalizzati e siccome sono mantenute con meno frequenza rispetto ai browser più conosciuti non avevano embeddedato i nuovi certificati di Root emessi da Sectigo.
Chi è stato colpito dalla scadenza di certificato di Root AddTrust External CA?
- Client che non hanno ricevuto aggiornamenti di sicurezza dal 2015 in poi;
- Apple Mac OS X 10.11 o VERSIONI precedenti
- iPhone/iPad con iOS 9 o precedenti
- Dispositivi con Google Android 5.0 o precedenti
- Computer con sistema operativo Microsoft Windows Vista & 7
- Computer con sistema operativo Windows XP
- Browser Mozilla Firefox 35 o precedenti
- Oracle Java 8u50 o precedenti
- Applicazioni configurate per fidarsi esplicitamente di un Root certificate scaduto
- Applicazioni basati su OpenSSL con versione precedente a 1.1.1
- Alcuni client OpenLDAP
- Applicazioni che utilizzano cURL
In ogni caso, la scadenza dei certificati Root non ha messo a rischio la sicurezza degli applicativi utilizzati.
La maggior parte degli hosting provider si era fatta sfuggire questa scadenza e confidava che tutti i sistemi operativi fossero correttamente aggiornati.
Infatti, anche se all’interno del sistema operativo del server ci fosse stato installato un certificato di Root scaduto, il certificato si sarebbe aggiornato automaticamente. Ad esempio, un utente con Windows XP accedendo ad un’applicazione aggiornata da browser non avrebbe riscontrato l’errore.
Anche Debian è stato coinvolto nella problematica e ha aggiornato il pacchetto CA prendendo le certificazioni fornite con il browser di Mozilla che permettono alle applicazioni basate su SSL di verificare l’autenticità delle connessioni.
Ci teniamo a sottolineare che in Shellrent poniamo particolare attenzione alla sicurezza e consegniamo ai clienti sistemi operativi sempre aggiornati.
