Vervallen Sectigo certificaat zorgt voor problemen
Op 30 mei 2020 verviel het “AddTrust External CA Root” certificaat. Dat was ondertussen 20 jaar oud en werd door Comodo/Sectigo gebruikt om de certificaten, die zij verkochten, te ondertekenen. Hoewel Sectigo dit certificaat eigenlijk reeds een hele tijd geleden vervangen heeft, werd het toch nog in de certificaten-keten opgenomen. Want enkel op die manier werkte hun certificaten ook op erg oude toestellen (zoals oude Android systemen).
Volgens informatie van Sectigo hierover zou het geen enkel probleem vormen als je het vervallen certificaat in de certificaten-keten liet staan. Ze berichtten dat de functie van het certificaat automatisch overgenomen zou worden door een ander certificaat uit de keten, of dat gebruikers zelfs niet zouden merken dat het vervallen was.
In de praktijk bleek dat inderdaad het geval voor alle gekende webbrowsers. Dus bezoekers aan websites die dit certificaat gebruikten, ondervonden geen hinder. Maar dat kon niet gezegd worden van andere systemen waarop dit certificaat geïnstalleerd was. Wanneer het bijvoorbeeld ingezet werd op een mailserver of om de communicatie tussen twee servers onderling te beveiligen, dan bleek het vervallen certificaat soms toch voor problemen te zorgen.
Als je een Comodo/Sectigo certificaat gebruikt en je ondervindt problemen sinds 30 mei, dan hoef je niet je eigen certificaat te vervangen, maar volstaat het om de certificaten-keten die er onder hangt aan te passen (dit worden ook wel eens de “CA Certificaten” genoemd). Hier onder vind je de correcte certificaten-ketens voor de meeste gebruikte Comodo en Sectigo certificaten: