CENTIO#KNOWLEDGEBASE

Проблем при валидация на сертификат издаден от Sectigo

Owned by Desislava Zlaticheva
Last updated: Aug 07, 2020
3 min read

Уебсайтове, които са подписани от Sactigo може да не се достъпят успешно поради факта, че външен CA е изтекъл на 30.05.2020г. (certificate AddTrust External CA Root)

Този проблем се случва когато OpenSSL проверява веригата със сертификатите, които водят до този изтекъл външен CA.

Ако имате сайт със изтекъл сертификат и е обработен от уеб прокси на защитната ви стена Sophos, той ще бъде блокиран по подразбиране.

Ето пример за това как изглежда един прихванат пакет когато сървъра ни предостави изтекъл CA:

(кликнете тук, за да видите изображението в пълен размер)

Отнася се за следните продукти и версии на Sophos 
Защитна стена Sophos 

 

Как може да ни въздейства този проблем

Достъпът до уебсайтове, който са подписани с изтекъл сертификат ще бъде блокиран от защитна стена Sophos.

Няма да може да се установи успешна връзка към уебсайтове подписани от Sectigo CA. При опит за достъп до такъв уебсайт ще получите следното съобщение:

(кликнете тук, за да видите изображението в пълен размер)

Връзката до защитна стена Sophos през SSL VPN няма да може да се осъществи

Когато използваме сертификат за SSL VPN връзка, потвърждението няма да бъде успешно, защото не може да се установи връзка. Това ще доведе до неуспешна връзка към защитна стена Sophos тъй като сертификата е невалиден.

SSL VPN клиенти ще видят следното съобщение:
Sat May 30 00:00:00 2020 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed


Моментен статус

Проблема е отстранен във фирмуер 18.0 MR2 и 17.5 MR14

Какво да правим

Уебсайтове които са подписани с изтеклият сертификат и не са достъпни

 Изтеклият CA който се намира в Sophos Firewall трябва да бъде премахнат.

 Отворете секция SYSTEM → Certificates → Certificate authorities и търсете за “AddTrust_External_Root”. След което го изтриите.

(кликнете тук, за да видите изображението в пълен размер)

Неуспешна връзка към защитна стена Sophos чрез SSL VPN

Сертификата, използван за SSL VPN връзка е изтектъл и ще трябва да бъде заместен с друг сертификат.

 За да смените сертификата, отворете секция Configure → VPN → Show VPN Settings → SSL Server Certificate и го сменете на Appliance Certificate. Натиснете Apply → Close VPN Settings.

 След тази промяна, ще трябва да импортирате на ново конфигурациите. Може да се обърнете към тази статия за да разберете как: Sophos XG Firewall: How to configure SSL VPN remote access

(кликнете тук, за да видите изображението в пълен размер)

Бележка: Ако изпитвате други затруднения, различни от тези описани отгоре, моля да се обърнете към техническия екип на CENTIO #Cybersecurity

 

Ръководство на английски език: Certificate validation issues for the Sectigo root CA

Свързани материали