Como você deve saber , um certificado CA emitido pela Sectigo expirou recentemente. Isso está afetando certos aplicativos móveis e possivelmente sites, tornando-os incapazes de se conectar aos recursos de rede necessários.
Isso pode afetar as aplicações por dois (três) motivos:
- O aplicativo pode estar usando um mecanismo incorreto para validar certificados (conforme detalhado principalmente nos artigos referenciados).
- O aplicativo não pode ter um certificado de substituição. Esse é o caso de dispositivos mais antigos que os fabricantes não oferecem mais suporte.
- Ambos mencionados acima.
A solução para o primeiro problema é remover o certificado expirado do armazenamento confiável. E a segunda questão? O que os usuários podem fazer para contornar isso?
(Por favor, não vamos entrar em detalhes se alguém deve ou não usar esses dispositivos. Nem todos podem gastar de US $ 200 a US $ 1.000 a cada ano para comprar um novo dispositivo.)
(Esta resposta cobrirá usuários do Android que têm acesso ao Firefox em um computador desktop. Adicione outras respostas para cobrir outros usuários!)
O que há de errado? O que fazemos sobre isso?
Se você usa um aplicativo que usa um certificado afetado, deve ter notado em 30 de maio que ele se recusa a funcionar repentinamente. Aplicativos "melhores" podem mostrar uma mensagem de erro realmente útil, mas muitos simplesmente lançam um erro imediato para "verificar sua conexão com a Internet" quando não há nada de errado com a conexão de rede.
A causa, conforme observado, é um certificado CA expirado que faz com que o handshake inicial com o servidor seja rejeitado.
Para leigos, uma sessão típica começa assim:
Quando as coisas estão funcionando, o cliente reconhece a identificação e continua a falar com o servidor. O que está acontecendo com os certificados emitidos pela Sectigo é que o cliente vê a) uma assinatura expirada eb) uma assinatura não reconhecida, então ele recusa a conexão como "insegura". Os aplicativos podem ou não saber o que está acontecendo, mas em qualquer caso, o efeito é que a tentativa de conexão com o servidor é negada.
Os dispositivos mais novos não têm esse problema porque conhecem o certificado atualizado. Portanto, o problema pode ser resolvido em dispositivos mais antigos instalando manualmente o certificado CA relevante. Mas primeiro...
Isso é seguro?
Provavelmente. Este guia explicará como instalar um certificado no qual você já confia . Não posso prometer que esse certificado não está comprometido, mas se estiver, você já está pwned. Você também pode (e deve!) verificar a impressão digital do certificado por outros meios, por exemplo, comparando as impressões digitais com as de um segundo dispositivo.
Após a instalação, seu dispositivo pode reclamar que "uma parte desconhecida pode monitorar seu tráfego de rede". Embora isso possa ser verdade, se você está realmente preocupado com os CAs, não deveria estar online. (Além disso, AFAIK isso apenas "exporia" informações criptografadas com certificados assinados pela Sectigo; qualquer outra coisa ainda é tão segura como sempre.)
Isso é "craque"? Isso violará meus ToS?
Absolutamente não! O que você está fazendo é essencialmente aplicar (uma pequena parte de) uma atualização que o fornecedor do dispositivo deveria ter disponibilizado para você em primeiro lugar. Qualquer dispositivo com armazenamento confiável atualizado já possui esse certificado . (É, de fato, onde você obterá o certificado em primeiro lugar.) Além disso, a instalação de um certificado CA não é de forma alguma específica para nenhum aplicativo ou serviço específico.
Se alguma empresa acredita que isso é uma violação de seus ToS, ela é incompetente e, francamente, você deve evitar lidar com ela.
Já chega, o que eu faço?
Primeiro, você precisará de a) um computador com um navegador da Web razoavelmente atualizado (conforme observado anteriormente, estou usando o Firefox, mas o procedimento para o Chrome deve ser semelhante) e b) uma maneira de transferir um arquivo do referido computador ao dispositivo que precisa ser "consertado". Um cabo USB é a escolha "óbvia" e provavelmente a mais segura, mas você também pode enviar o arquivo por e-mail para si mesmo. (Se você fizer isso, certifique-se de verificar a impressão digital!)
Você também pode baixar o certificado do Sectigo, mas como você sabe que confia neles? Seu navegador da web / fornecedor do sistema operacional fez o trabalho braçal (espero!) Para verificar se eles são confiáveis. Você não deve apenas aceitar a palavra de um cara em um fórum da web de que o certificado é "seguro". Novamente, é por isso que você obterá uma cópia do certificado em que já confia.
Como faço para obter o certificado?
about:preferences#privacy. Você também pode chegar lá selecionando "Preferências" no menu 'hambúrguer' e selecionando a guia "Privacidade".Como instalo o certificado?
ESPERAR!
Como faço para verificar o certificado?
Ainda em "Segurança", toque em "Credenciais confiáveis" e depois em "Usuário". Você deve ver o certificado que acabou de adicionar. Toque nele para ver seus detalhes. Em particular, procure a "impressão digital SHA-256", que deve ser (supondo que nem meu computador nem esta resposta tenham sido comprometidos):
(Adicionei quebras de linha para corresponder à exibição no meu tablet, o que pode ser conveniente se o seu dispositivo adicionar quebras de linha no mesmo local. Elas não significam nada, portanto, não entre em pânico se vir quebras de linha em lugares diferentes.)
Você também deve comparar a impressão digital com o certificado conforme ele está armazenado em seu computador (usando a guia que você deixou aberta anteriormente). Se todos os três corresponderem, a probabilidade de que sua cópia do certificado seja comprometida de alguma forma é muito baixa.
Em muitos casos, há um caminho de validação alternativo que não é considerado pelo software não compatível; você insinuou isso na sua pergunta. Então, por que você acredita que a remoção do certificado CA expirado resolveria a validação? Pode em alguns casos, mas estamos completamente fora da reserva aqui.
Se você tiver acesso para remover um certificado, deverá ter acesso para instalar um novo certificado, mas ainda está caminhando para um mundo de dor na engenharia reversa de diferentes pilhas para mapear exatamente por que elas não são reclamações / encontrar soluções que funcionem.
Consegui que funcionasse adicionando
Sectigo RSA DV Bundle (Intermediate + Cross Signed)ao meu pacote no servidor, que baixei da página de suporte do SectigoEntão ele serve 4 certificados agora: