主页 / computer / 问题 / 1569357
Accepted
Matthew
Asked: 2020-06-06 06:13:51 +0800 CST

如何解决旧移动设备上过期的 Sectigo 证书?

  • 772

如您所知 Sectigo 颁发的 CA 证书最近过期了。这会影响某些移动应用程序和可能的网站,使它们无法连接到所需的网络资源。

这可能会因为两(三)个原因影响应用程序:

  • 应用程序可能使用了不正确的机制来验证证书(如参考文章中所详述)。
  • 该应用程序可能没有替换证书。制造商不再支持的旧设备就是这种情况。
  • 以上两种。

第一个问题的解决方案是从信任库中删除过期的证书。第二个问题呢?用户可以做些什么来解决这个问题?

(请不要讨论是否有人应该使用此类设备。不是每个人都能负担得起每年花费 200 至 1000 美元左右来购买新设备。)

tls certificate

3 个回答

  1. Best Answer

    (此答案将涵盖可以在台式计算机上访问 Firefox 的 Android 用户。请添加其他答案以涵盖其他用户!)

    怎么了?我们该怎么办?

    如果您使用的应用程序使用了受影响的证书,您可能在 5 月 30 日注意到它突然拒绝运行。“更好”的应用程序可能会显示一条真正有用的错误消息,但当网络连接没有任何问题时,许多应用程序会立即抛出一个错误以“检查您的互联网连接”。

    如前所述,原因是过期的 CA 证书导致与服务器的初始握手被拒绝。

    对于外行来说,一个典型的会议是这样开始的:

    Client: Hello, server? Can I talk to you?
Server: Sure! Here's my identification!
*Client checks identification*

    当一切正常时,客户端识别身份并继续与服务器对话。Sectigo 颁发的证书发生的情况是客户端看到 a) 过期的签名和 b) 无法识别的签名,因此它拒绝连接为“不安全”。应用程序可能甚至可能不知道发生了什么,但无论如何,结果是连接到服务器的尝试被拒绝。

    较新的设备没有此问题,因为它们知道更新的证书。因此,可以通过手动安装相关 CA 证书在旧设备上解决该问题。但首先...

    这安全吗?

    大概。本指南将解释如何安装您已经信任的证书。我不能保证那个证书不会被泄露,但如果是,你已经被骗了。您可以(并且应该!)还可以通过其他方式验证证书的指纹,例如,将指纹与第二台设备上的指纹进行比较。

    安装后,您的设备可能会抱怨“未知方可能能够监控您的网络流量”。虽然这可能是真的,但如果您真的担心 CA,您根本不应该在线。(此外,AFAIK 这只会“暴露”用 Sectigo 签名的证书加密的信息;其他任何东西仍然像往常一样安全。)

    这是“开裂”吗?它会违反我的服务条款吗?

    绝对不!您所做的实际上是应用(一小部分)您的设备供应商应该首先提供给您的更新。任何具有最新信任存储的设备都已拥有此证书。(实际上,您首先要从哪里获得证书。)此外,安装 CA 证书绝不是特定于任何特定应用程序或服务的。

    如果任何公司认为这违反了他们的服务条款,他们就是无能的,坦率地说,你应该避免与他们打交道。

    已经够了,我该怎么办?

    首先,您需要 a) 一台具有相当最新的网络浏览器的计算机(如前所述,我使用的是 Firefox,但 Chrome 的过程应该类似)和 b) 一种从上述文件传输文件的方法计算机到需要“修复”的设备。USB 电缆是“显而易见的”并且可能是最安全的选择,但您也可以将文件通过电子邮件发送给自己。(如果您这样做,请确保验证指纹!)

    你也可以从 Sectigo 下载证书,但是你怎么知道你信任他们呢?您的网络浏览器/操作系统供应商做了一些工作(希望如此!)以验证它们是否值得信赖。您不应该只接受网络论坛上某个人的话,即证书是“安全的”。同样,这就是为什么您要获取您已经信任的证书副本的原因。

    我如何获得证书?

    • 打开 Firefox 并导航到about:preferences#privacy. 您也可以通过从“汉堡包”菜单中选择“首选项”并选择“隐私”选项卡来到达那里。
    • 滚动到底部并按“查看证书..”按钮。
    • 滚动直到找到“The USERTrust Network”。
    • 在上述项目下,找到并选择“USERTrust RSA 证书颁发机构”。
    • 按“导出...”并将证书保存在某处。
    • 暂时不要关闭您的网络浏览器。首先按“查看...”并保持该选项卡处于打开状态。
    • 将生成的文件复制到您的设备。

    如何安装证书?

    • 在您的 Android 设备上,转到“系统设置”。
    • 转到“安全”(在我的设备上,它位于“个人”下)。
    • 在“凭据存储”下,点击“从 SD 卡安装”。(您不需要 SD 卡;该选项命名错误。您可以从很多地方安装,包括内部存储或 Google Drive。)
    • 找到并选择您之前获得的证书。
    • 给它一个名称(例如“USERTrust RSA”或“foo”;您输入的名称似乎实际上并没有在任何地方使用)。确保对于“凭据使用”,您选择了“VPN 和应用程序”(默认情况下应该选择它)。
    • 点击“确定”添加证书。您的应用程序现在应该可以运行了!

    等待!

    如何验证证书?

    在“安全”中,点击“受信任的凭据”,然后点击“用户”。您应该会看到刚刚添加的证书。点击它以查看其详细信息。特别是,寻找“SHA-256 指纹”,它应该是(假设我的电脑和这个答案都没有被泄露):

    E7:93:C9:B0:2F:D8:AA:13:E2:1C:
31:22:8A:CC:B0:81:19:64:3B:74:9C:
89:89:64:B1:74:6D:46:C3:D4:CB:D2

    (我添加了换行符以匹配它在我的平板电脑上的显示方式,如果您的设备在同一位置添加换行符,这可能会很方便。不过,它们没有任何意义,所以如果您看到换行符,请不要惊慌在不同的地方。)

    您还应该将指纹与证书进行比较,因为它存储在您的计算机上(使用您之前打开的选项卡)。如果这三个都匹配,则您的证书副本以某种方式受到损害的可能性非常低。

    • 0

  2. 第一个问题的解决方案是从信任库中删除过期的证书

    在许多情况下,不合规软件不会考虑替代验证路径;你在你的问题中暗示了这一点。那么为什么您认为删除过期的 CA 证书会解决验证问题呢?在某些情况下可能会,但我们完全不在这里预订。

    如果您有权删除证书,那么您应该有权安装新证书,但您仍然面临着逆向工程不同堆栈的痛苦世界,以准确映射它们为什么不抱怨/找到有效的解决方案。

    • 0

  3. 我通过添加Sectigo RSA DV Bundle (Intermediate + Cross Signed)到我从Sectigo 支持页面下载的服务器上的捆绑包来让它工作

    所以它现在提供 4 个证书:

    1. 域名证书
    2. Sectigo RSA 域验证安全服务器 CA [中级]
    3. USERTrust RSA Root xSigned 使用 AAA CA [交叉签名]
    4. SHA-2 根:USERTrust RSA 证书颁发机构
    • 0

相关问题