Support-Portal

Sophos UTM: Zertifikatsvalidierung für von der Sectigo Root-CA signierte Websites fehlgeschlagen

Übersicht

Websites, die von einer Sectigo-Root-CA signiert sind, können möglicherweise keine Verbindung herstellen und eine Zertifikatsvalidierung ist fehlgeschlagen, da das Zertifikat AddTrust External CA Root am 30. Mai 2020 abgelaufen ist

Ein Problem tritt auf, weil OpenSSL den Zertifikatskettenpfad überprüft, was zu einer abgelaufenen ‚AddTrust External CA‘ führt. Daher können Sie beobachten, dass Sites, die von der Sectigo Root-CA signiert sind, möglicherweise keine Verbindung herstellen können und dem Endbenutzer eine Meldung über die fehlgeschlagene Zertifikatsvalidierung angezeigt wird

Wenn Sie eine Website haben, deren Zertifikat abgelaufen ist und die von dem Web-Proxy der Sophos Firewall verarbeitet wird, wird die Website standardmäßig blockiert.

Hier ist ein Beispiel für die Paketerfassung, bei der der Remote-Server das CA-Zertifikat, dessen Gültigkeitsdauer abgelaufen ist, präsentieren würde.

 

Wenn das abgelaufene Zertifikat dem Sophos UTM-Web-Proxy vorgelegt wird, überprüft dieser die Gültigkeit des Zertifikats und stellt fest, ob es gültig ist oder nicht. In diesem Fall wird es standardmäßig gesperrt.

Sie können einen solchen Hinweis auch im HTTP.log beobachten:
„url=“https://example.com/“ referer=“““ error=“Überprüfung des Server-Zertifikats fehlgeschlagen““

Wie löse ich das Problem

Auf dem UTM kann das abgelaufene Zertifikat „AddTrust External CA Root“ deaktiviert werden. Dies führt dazu, dass die Zertifikatsprüfung gegen das neue Zertifikat prüft. Die folgende Abbildung zeigt das Zertifikat und es ist deaktiviert.

Sobald das Zertifikat deaktiviert ist, müssen Sie den Proxy ausschalten und dann wieder einschalten. Dies kann unter Web-Schutz > Web-Filterung > Registerkarte „Global“ erfolgen.

Tags: Sophos UTM, UTM, Zertifikat, Sectigo