Übersicht
Webseiten, die von einer Sectigo-Root-CA signiert sind, können möglicherweise keine Verbindung herstellen und eine Zertifikatsvalidierung ist fehlgeschlagen, da das Zertifikat AddTrust External CA Root am 30. Mai 2020 abgelaufen ist
Das Problem tritt auf, weil OpenSSL den Zertifikatskettenpfad überprüft, was zu einer abgelaufenen ‚AddTrust External CA‘ führt. Daher können Sie beobachten, dass Webseiten, die von der Sectigo Root-CA signiert sind, möglicherweise keine Verbindung herstellen können und dem Endbenutzer eine Meldung über die fehlgeschlagene Zertifikatsvalidierung angezeigt wird
Wenn Sie eine Website haben, deren Zertifikat abgelaufen ist und die von dem Web-Proxy der Sophos XG Firewall verarbeitet wird, wird die Website standardmäßig blockiert.
Hier ist ein Beispiel für die Paketerfassung, bei der der Remote-Server das CA-Zertifikat, dessen Gültigkeitsdauer abgelaufen ist, präsentieren würde.
Auswirkung
- Websites, die mit abgelaufenem Zertifikat signiert wurden, sind über die Sophos Firewall nicht zugänglich
- Websites, die von einer Sectigo-Root-CA signiert sind, können möglicherweise keine Verbindung herstellen und eine Zertifikatsvalidierung ist fehlgeschlagen, da das Zertifikat AddTrust External CA Root am 30. Mai 2020 abgelaufen ist. Daher kann es vorkommen, dass eine Sperrmeldung von der Sophos Firewall auf der Benutzerseite angezeigt wird.
- Websites, die von einer Sectigo-Root-CA signiert sind, können möglicherweise keine Verbindung herstellen und eine Zertifikatsvalidierung ist fehlgeschlagen, da das Zertifikat AddTrust External CA Root am 30. Mai 2020 abgelaufen ist. Daher kann es vorkommen, dass eine Sperrmeldung von der Sophos Firewall auf der Benutzerseite angezeigt wird.
- Verbindung zur Sophos Firewall über SSL-VPN nicht möglich
- Bei Verwendung des Zertifikats für die SSL-VPN-Verhandlung würde die Validierung fehlschlagen und keine Verbindung herstellen können, was zu einer fehlgeschlagenen Verbindung mit der Sophos Firewall führen würde, da das Zertifikat nicht mehr gültig ist
- SSL-VPN-Clients sehen folgendes in den Protokolle: Sat May 30 00:00:00 2020 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Wie löse ich das Problem
- Websites, die mit abgelaufenem Zertifikat signiert wurden, sind über die Sophos Firewall nicht zugänglich
- Die abgelaufene CA ist in den Listen der Sophos Firewall Certificate Authorities aufgeführt. Diese müsste entfernt werden.Navigieren Sie zu SYSTEM > Zertifikate > Zertifizierungsstellen und suchen Sie nach „AddTrust_External_Root“. Wie Sie im Snapshot sehen können, ist die CA nicht mehr gültig und müsste aus den Listen der Zertifizierungsstellen entfernt werden.
- Die abgelaufene CA ist in den Listen der Sophos Firewall Certificate Authorities aufgeführt. Diese müsste entfernt werden.Navigieren Sie zu SYSTEM > Zertifikate > Zertifizierungsstellen und suchen Sie nach „AddTrust_External_Root“. Wie Sie im Snapshot sehen können, ist die CA nicht mehr gültig und müsste aus den Listen der Zertifizierungsstellen entfernt werden.
- Verbindung zur Sophos Firewall über SSL-VPN nicht möglich
- Das mit einer solchen abgelaufenen externen CA signierte und für SSL-VPN verwendete Zertifikat müsste durch ein beliebiges anderes Zertifikat ersetzt werden; als Abhilfe können Sie „Appliance Certificate“ verwenden.
Um das Zertifikat zu ändern, navigieren Sie bitte zu Konfigurieren > VPN > VPN-Einstellungen anzeigen > SSL-Serverzertifikat und ändern Sie dies in „ApplianceCertificate“. Klicken Sie auf „Übernehmen“ und dann auf „VPN-Einstellungen schließen“. - Nach dieser Änderung müssten die Benutzer die Konfiguration erneut importieren
- Das mit einer solchen abgelaufenen externen CA signierte und für SSL-VPN verwendete Zertifikat müsste durch ein beliebiges anderes Zertifikat ersetzt werden; als Abhilfe können Sie „Appliance Certificate“ verwenden.