23/10/2024
Mange brugere af Sophos UTM har oplevet uventede problemer i de seneste dage, primært relateret til udløbet af DST Root CA X3 certifikatet. Dette certifikat, der tidligere blev brugt af Let's Encrypt til at udstede certifikater, er nu fortid, hvilket har skabt udfordringer for en række enheder og tjenester, der er afhængige af det. Dette inkluderer populære enheder som Samsung Galaxy telefoner, iPhones, VDI zero og thin clients, og ikke mindst Sophos UTM firewalls.
I mit eget miljø observerede jeg, at adgangen til websteder, der anvender Let's Encrypt certifikater, blev blokeret af Sophos UTM's Web Protection Web Filtering service. Fejlmeddelelsen indikerede, at certifikatet var udløbet, hvilket forhindrede mig i at tilgå disse sider.
Hvad er problemet?
Let's Encrypt, en populær udbyder af gratis SSL/TLS-certifikater, har historisk anvendt "DST Root CA X3" som deres primære rodcertifikat. Som tjenesten er vokset og modnet, er de dog overgået til nyere og stærkere rodcertifikater: "ISRG Root X1" og "ISRG Root X2". Som et mellemliggende certifikat bruges nu "Let's Encrypt R3".
Problemet opstår, fordi ældre enheder og systemer stadig er konfigureret til at stole på det nu udløbne "DST Root CA X3" certifikat. Udløbsdatoen var den 30. september 2021. Yderligere information kan findes på Let's Encrypts officielle side dedikeret til dette emne: https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
Løsningen: Opdatering af Rodcertifikater
For at genetablere fuld funktionalitet og sikre korrekt forbindelse til websteder, der anvender Let's Encrypt certifikater, er det nødvendigt at tilføje de nye rodcertifikater til din Sophos UTM firewall. Du skal specifikt tilføje de to nye rodcertifikater, som Let's Encrypt nu anvender.
Her er de nødvendige certifikater i PEM-format:
- ISRG Root X1: https://letsencrypt.org/certs/isrgrootx1.pem
- ISRG Root X2: https://letsencrypt.org/certs/isrgrootx2.pem
Du kan downloade disse certifikater direkte fra ovenstående links. For yderligere information om Let's Encrypt certifikater generelt, besøg: https://letsencrypt.org/certificates/
Når disse rodcertifikater er tilføjet din enhed eller dit system, vil du have den fulde certifikatkæde, der er nødvendig for at validere Let's Encrypt certifikater. Dette bør løse problemet med blokerede forbindelser.
Fejlfinding: Hvis problemet fortsætter
Hvis du stadig oplever problemer efter at have tilføjet de nye rodcertifikater, kan du forsøge at slette det gamle "DST Root CA X3" certifikat fra din liste over betroede rodcertifikater. Det er også en god idé at lukke og genåbne eventuelle programmer eller browsere, der måtte være i brug, for at sikre, at de indlæser de nye certifikater korrekt.
Specifik vejledning til Sophos UTM: HTTPS Scanning/Filtrering
For Sophos UTM brugere, der anvender HTTPS scanning og filtrering, er det essentielt at tilføje de nye rodcertifikater til firewallens liste over HTTPS-certifikatudstedere. Følg disse trin:
1. Download de 3 certifikater: Download både ISRG Root X1 og ISRG Root X2 (som vist ovenfor). Selvom der er tre links, er det primært de to nye rodcertifikater, der skal tilføjes. Det tredje link refererer typisk til et mellemliggende certifikat, som også kan være relevant for fuld kompatibilitet.
2. Log ind på Sophos UTM: Åbn din Sophos UTM administrationsgrænseflade.
3. Naviger til Web Protection: Gå til sektionen "Web Protection", derefter "Filtering Options" og vælg fanen "HTTPS CAs".
4. Deaktiver det gamle certifikat: Find "Digital Signature Trust Co. DST Root CA X3" certifikatet i listen og deaktiver det. Du kan typisk gøre dette ved at fjerne markeringen eller klikke på en deaktiveringsknap.
5. Upload de nye certifikater: Brug funktionen "Upload local CA". Gennemse til placeringen af de downloadede certifikater, og upload dem et ad gangen. Gentag dette trin for alle de nye rodcertifikater, du har downloadet.
6. Bekræftelse: Efter upload bør du se de nye certifikater (f.eks. ISRG Root X1 og ISRG Root X2) listet under "Local verification CAs".
Når disse trin er fulgt, bør problemet være løst. Din Sophos UTM firewall vil nu kunne validere Let's Encrypt certifikater korrekt, og du vil igen have uhindret adgang til websteder.
Generelle overvejelser for andre firewalls
Processen for andre firewalls, der tilbyder lignende HTTPS scanning og filtreringsfunktioner, vil være meget lig den beskrevne for Sophos UTM. Det centrale er at identificere sektionen for administration af CA-certifikater og importere de nye, gyldige rodcertifikater fra Let's Encrypt.
Opsummering af Certifikatkæden
For at forstå problemet bedre, er det nyttigt at se på certifikatkæden. En typisk Let's Encrypt certifikatkæde ser således ud:
| Niveau | Certifikat Udsteder | Gyldighed |
|---|---|---|
| Rod | ISRG Root X1 / ISRG Root X2 | Gyldig |
| Mellemled | Let's Encrypt R3 | Gyldig |
| Slutpunkt | Dit Webstedscertifikat | Gyldig |
Det udløbne "DST Root CA X3" certifikat var tidligere en del af denne kæde, og manglen på dette rodcertifikat i ældre systemer forhindrer validering af certifikater udstedt af "Let's Encrypt R3".
Hvordan kan jeg verificere, at problemet er løst?
Den bedste måde at verificere, at problemet er løst, er at forsøge at tilgå de websteder, der tidligere var utilgængelige. Hvis du nu kan browse til disse sider uden fejlmeddelelser om udløbne certifikater, er din Sophos UTM firewall korrekt konfigureret.
Er der andre enheder, der kan blive påvirket?
Ja, enhver enhed eller ethvert system, der stoler på "DST Root CA X3" for at validere Let's Encrypt certifikater, kan opleve lignende problemer. Dette kan inkludere servere, IoT-enheder, ældre operativsystemer og specifik software, der anvender deres egne certifikatlagre.
Ved at tage skridt til at opdatere dit Sophos UTM med de korrekte rodcertifikater, sikrer du ikke kun din egen netværksadgang, men bidrager også til et mere sikkert og stabilt internet for alle brugere.
Hvis du vil læse andre artikler, der ligner Sophos UTM: Løsning på certifikatproblemer, kan du besøge kategorien Teknologi.