Проблем при валидация на сертификат издаден от Sectigo
Уебсайтове, които са подписани от Sactigo може да не се достъпят успешно поради факта, че външен CA е изтекъл на 30.05.2020г. (certificate AddTrust External CA Root)
Този проблем се случва когато OpenSSL проверява веригата със сертификатите, които водят до този изтекъл външен CA.
Ако имате сайт със изтекъл сертификат и е обработен от уеб прокси на защитната ви стена Sophos, той ще бъде блокиран по подразбиране.
Ето пример за това как изглежда един прихванат пакет когато сървъра ни предостави изтекъл CA:
(кликнете тук, за да видите изображението в пълен размер)
Отнася се за следните продукти и версии на Sophos
Защитна стена Sophos
Как може да ни въздейства този проблем
Достъпът до уебсайтове, който са подписани с изтекъл сертификат ще бъде блокиран от защитна стена Sophos.
Няма да може да се установи успешна връзка към уебсайтове подписани от Sectigo CA. При опит за достъп до такъв уебсайт ще получите следното съобщение:
(кликнете тук, за да видите изображението в пълен размер)
Връзката до защитна стена Sophos през SSL VPN няма да може да се осъществи
Когато използваме сертификат за SSL VPN връзка, потвърждението няма да бъде успешно, защото не може да се установи връзка. Това ще доведе до неуспешна връзка към защитна стена Sophos тъй като сертификата е невалиден.
SSL VPN клиенти ще видят следното съобщение:Sat May 30 00:00:00 2020 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Моментен статус
Проблема е отстранен във фирмуер 18.0 MR2 и 17.5 MR14
Какво да правим
Уебсайтове които са подписани с изтеклият сертификат и не са достъпни
Изтеклият CA който се намира в Sophos Firewall трябва да бъде премахнат.
Отворете секция SYSTEM → Certificates → Certificate authorities и търсете за “AddTrust_External_Root”. След което го изтриите.
(кликнете тук, за да видите изображението в пълен размер)
Неуспешна връзка към защитна стена Sophos чрез SSL VPN
Сертификата, използван за SSL VPN връзка е изтектъл и ще трябва да бъде заместен с друг сертификат.
За да смените сертификата, отворете секция Configure → VPN → Show VPN Settings → SSL Server Certificate и го сменете на Appliance Certificate. Натиснете Apply → Close VPN Settings.
След тази промяна, ще трябва да импортирате на ново конфигурациите. Може да се обърнете към тази статия за да разберете как: Sophos XG Firewall: How to configure SSL VPN remote access
(кликнете тук, за да видите изображението в пълен размер)
Бележка: Ако изпитвате други затруднения, различни от тези описани отгоре, моля да се обърнете към техническия екип на CENTIO #Cybersecurity
Ръководство на английски език: Certificate validation issues for the Sectigo root CA