Pubblicato il: 26-03-2020

Attualmente l’AddTrust External CA Root presenta una Cross-Certificate (USERTrust) per aumentare il supporto tra sistemi e dispositivi molto vecchi. La Root scadrà alla fine di maggio 2020.

Eventuali applicazioni o installazioni che dipendono dalla Root, con Cross-Certificate, devono essere aggiornate entro maggio 2020, per evitare di subire interruzioni o di visualizzare messaggi di errore.  

Nella maggior parte dei casi, non è richiesta alcuna azione, indipendentemente dal fatto che siano stati emessi certificati Cross-Chained collegati alla Root AddTrust. Per casi insoliti, si offre una nuova opzione di Cross-Signing con la Root "AAA Certificate Services", che non scadrà fino al 2038.

                       

Cos'è una Root (Certificato Radice)?

I certificati di Root sono certificati self-signed.

Ciò significa che "Emittente" e "Soggetto" sono gli stessi. Un certificato Root diventa attendibile (o CA attendibile) in quanto viene incluso per impostazione predefinita nell’archivio di attendibilità di un software come un browser o un sistema operativo.      

Questi archivi attendibili vengono aggiornati frequentemente dal software del browser o dal sistema operativo, spesso come parte degli aggiornamenti di sicurezza, ma sulle vecchie piattaforme ormai obsolete gli aggiornamenti avvenivano spesso in modo parziale, come ad esempio il Service Pack di Windows o versioni opzionali di Windows Update.            

I certificati di un sito sono composti da una "catena" di certificati o "intermedi", emessi dalla CA, che completano il percorso di ritorno al certificato Root.    

È importante notare che gli aggiornamenti di sicurezza sono oggi di fondamentale importanza. Potrebbero esserci dispositivi che non sono stati aggiornati alle attuali Root, e di conseguenza non supportano gli standard richiesti dall’attuale Internet. Un buon esempio è Android.

Sebbene Android 2.3 Gingerbread non abbia installato le moderne Root e si basi su AddTrust, non supporta nemmeno TLS 1.2 o 1.3 ed è contrassegnato come obsoleto.

                 

Che cos'è il Cross-Sign?

Le CA spesso controllano più Root (Certificati Radice), e generalmente più vecchia è la Root, più è diffusa su piattaforme meno recenti.

Per arginare questo ostacolo, le CA generano delle Cross-Certificate (USERTrust) per garantire che i loro certificati siano supportati il più ampiamente possibile. Un Cross-Certificate  è il punto in cui un certificato radice viene utilizzato per firmarne un altro.

Il Cross-Certificate (USERTrust) utilizza la stessa chiave pubblica e l'oggetto della Root.

Ad esempio, un Cross-Certificate (USERTrust) potrebbe essere:

Oggetto: Autorità di certificazione

RSAEmittente: AddTrust External CA Root

Il Cross-Certificate (USERTrust) utilizza lo stesso oggetto e la stessa chiave pubblica della Root RSA

I Browser e gli utenti utilizzeranno il "miglior" certificato Root attendibile disponibile.

                   

Cosa fare?

Nella maggior parte dei casi, non è richiesta alcuna azione, indipendentemente dal fatto che siano stati emessi certificati Cross-Chained collegati alla Root AddTrust.

Per i server aziendali che dipendono da sistemi molto vecchi, abbiamo reso disponibile una nuova Root legacy per il Cross-Signing, la Root "AAA Certificate Services".

Tuttavia, si prega di usare estrema cautela in merito a qualsiasi processo che dipenda da sistemi molto vecchi.

I sistemi che non hanno ricevuto gli aggiornamenti necessari per supportare le Root più recenti, come le Root attualmente esistenti (SHA-2), mancheranno inevitabilmente di altri aggiornamenti di sicurezza essenziali e dovrebbero essere considerati non sicuri.

Potrebbe essere necessario aggiornare tali sistemi per includere Root più moderne. Se la piattaforma non supporta gli algoritmi moderni (SHA-2, ad esempio), è necessario contattare l’amministratore di sistema.

Comunque, se si desidera eseguire il cross-sign con la Root "AAA Certificate Services" vi preghiamo di contattarci direttamente all’indirizzo support@globaltrust.it.

           

Domande Frequenti

Il certificato sarà ancora attendibile dopo il 30 maggio 2020?

. Tutti i client e i sistemi operativi moderni hanno le Root più recenti e moderne di USERTrust che scadranno nel 2038.

Su piattaforme che non sono state o non possono essere aggiornate (dispositivi incorporati, ad esempio), sarà necessario aggiornare e installare le nuove Root, assicurandosi che questi dispositivi dispongano degli aggiornamenti di sicurezza necessari.

 

È necessario ri-emettere o re-installare il certificato?

No. Il certificato rimarrà attendibile fino alla data di scadenza naturale e non necessita di ri-emissione o re-installazione.

Se si desidera, si può scegliere di interrompere l'installazione del Cross-Certificate sui server.

Se necessario, per motivi di compatibilità, dopo la scadenza di AddTrust, è disponibile un Cross-Certificate sostitutivo che è possibile installare sui server al posto del Cross-Certificate dell’AddTrust.

         

È possibile verificare che non vengano visualizzati errori?

Sì. Se si dispone di un certificato valido tra giugno 2020 e oltre, è possibile impostare l'orologio sul sistema in avanti al 1 giugno 2020 e testare il sito.

I browser moderni non visualizzeranno errori ed i certificati torneranno alla radice USERTrust.

(Nota: alcuni browser come Google Chrome rileveranno che l'orologio è "sbagliato" e di conseguenza mostreranno un avviso di errore, che non è però collegato ai certificati).