Übersicht
Websites, die von einer Sectigo-Root-CA signiert sind, können möglicherweise keine Verbindung herstellen und eine Zertifikatsvalidierung ist fehlgeschlagen, da das Zertifikat AddTrust External CA Root am 30. Mai 2020 abgelaufen ist
Ein Problem tritt auf, weil OpenSSL den Zertifikatskettenpfad überprüft, was zu einer abgelaufenen ‚AddTrust External CA‘ führt. Daher können Sie beobachten, dass Sites, die von der Sectigo Root-CA signiert sind, möglicherweise keine Verbindung herstellen können und dem Endbenutzer eine Meldung über die fehlgeschlagene Zertifikatsvalidierung angezeigt wird
Wenn Sie eine Website haben, deren Zertifikat abgelaufen ist und die von dem Web-Proxy der Sophos Firewall verarbeitet wird, wird die Website standardmäßig blockiert.
Hier ist ein Beispiel für die Paketerfassung, bei der der Remote-Server das CA-Zertifikat, dessen Gültigkeitsdauer abgelaufen ist, präsentieren würde.
Wenn das Zertifikat, dessen Gültigkeit abgelaufen ist, der Sophos Web Appliance vorgelegt wird, prüft diese die Gültigkeit des Zertifikats und stellt fest, ob es gültig ist oder nicht. Die Benutzer würden die folgende Fehlermeldung sehen:
Auswirkung
Benutzer, die versuchen, Websites mit diesen abgelaufenen Zertifikaten aufzurufen, werden durch die Zertifikatsvalidierung blockiert.
Aktueller Status
Die Entwicklung arbeitet an einem Fix für das Problem
Workaround
- Die Website, bei der die Meldung „Zertifikatsvalidierung fehlgeschlagen“ angezeigt wird, kann der Seite Zertifikatsvalidierung hinzugefügt werden (Globale Richtlinie > Zertifikatsvalidierung > Zertifikat erhalten). Dadurch wird der Zugriff auf diese spezielle Site ermöglicht.
- Wenn die Anzahl der Sites zu groß ist und die erste Abhilfe nicht praktikabel ist, können Sie HTTPS-Scannen und Zertifikatsvalidierung deaktivieren. Dies gilt für alle Sites.
WARNUNG: Wir raten davon ab, HTTPS-Scannen ohne Zertifikatsvalidierung zu aktivieren. Aus diesem Grund empfehlen wir als Workaround das Deaktivieren von HTTPS-Scannen mit Zertifikatsvalidierung zusammen.