De kryptografiske sertifikatene som blant annet brukes i forbindelse med nettsteder som leveres via krypterte HTTPS-forbindelser, er basert på et rotlignende, hierarkisk system hvor ektheten til sertifikatene bekreftes av sertifikater lenger opp i systemet. Dette kalles for sertifikatkjeder. I toppen av kjedene er det en rekke rotsertifikater som hver eneste brukerenhet må ha oppdaterte kopier av, for at de skal kunne brukes.
Torsdag i forrige uke, den 30. september, klokken 16.01.15 norsk tid, utløp rotsertifikatet DST Root CA X3 til Identrust, etter å ha vært gyldig i 21 år.
Ble brukt av Let's Encrypt
Dette har vært det rotsertifikatet som sertifikater fra blant annet Let's Encrypt har vært basert på. Relativt nylig gikk Let's Encrypt over til å bruke sitt eget rotsertifikat, ISRG Root X1, men fortsatt med DST Root CA X3 som rotsertifikat for en alternativ sertifikatkjede.
Det nye rotsertifikatet, altså ISRG Root X1, ble utstedt den 4. juni 2015 og forfaller først den 4. juni 2035. Det er altså drøyt seks år gammelt, noe som betyr at enheter og programvare som ikke har blitt oppdatert siden juni 2015, ikke har dette sertifikatet i samlingen med tiltrodde rotsertifikater. Digi.no omtalte dette i november 2020, men datoen som er oppgitt i saken (1. september 2021), er feil, selv om den er hentet fra et blogginnlegg utgitt av Let's Encrypt.
Let's Encrypt fant på tampen av fjoråret en løsning på dette konkrete problemet knyttet til eldre Android-utgaver, men det betyr ikke at ugyldiggjøringen av DST Root CA X3-rotsertifikatet gikk helt smertefritt for seg.
Nettsteder ble berørt
Ifølge ZDNet var det en rekke nettsteder og tjenester som fikk forstyrrelser eller sluttet å fungere. I mange tilfeller kan årsaken ha vært at de berørte tjenestene ikke selv har tatt i bruk den nye sertifikatkjeden. Let's Encrypt kom fredag med oppdatert informasjon til nettsteder som fortsatt sliter.
I andre tilfeller kan problemene ha vært på klientsiden.
Leser fikk problemer
En leser som kontaktet Digi.no rett før helgen, fortalte at han ikke fikk åpnet nettsteder med sertifikater med tre måneders levetid i andre nettlesere enn i Firefox. Henvendelsen inneholdt ikke detaljer om hva slags system han benytter, men det var likevel nok til å kunne gjøre noen antakelser.
Sertifikatene fra Let's Encrypt er de vanligste som har tre måneders levetid. Det er også andre sertifikatutstedere som tilbyr dette, men Let's Encrypt benyttes trolig av langt flere nettsteder enn de øvrige, inkludert norske nettsteder som Digi.no og VG.no. Vi regner derfor med at problemene brukeren opplevde, har hatt sammenheng med av at DST Root CA X3 utløp på dato.
I nyere Windows-versjoner er det en sentral samling av tiltrodde rotsertifikater som benyttes av de fleste nettlesere. Det mest kjente unntaket er Firefox, som vedlikeholder sin egen samling. Som nevnt var det bare i Firefox at de berørte nettstedene fortsatt fungerte hos leseren.
Vår gjetning var derfor at problemene leseren opplevde, er knyttet til den sentrale rotsertifikatsamlingen i Windows.
Deaktivert oppdatering?
I utgangspunktet skal rotsertifikatsamlingen i Windows oppdateres automatisk gjennom Windows Update. Det er vanligvis ikke noe brukerne behøver å tenke på. Men dypt nede i de lokale gruppe-policyene for Windows (i verktøyet gpedit.msc), finnes det en mulighet til skru av den automatiske oppdateringen av rotsertifikater.
I mangel av noe annet, foreslo vi for leseren å ta en titt på dette, men vi har ikke fått noen tilbakemelding fra ham i ettertid, så vi vet ikke om dette har hjulpet på noen måte, eller om problemene i det hele tatt kan ha vært utløst av denne innstillingen. Men hvis andre opplever det samme, kan det være et sted å begynne feilsøkingen.
Uansett er det jo slik at ISRG Root X1-rotsertifikatet kom i 2015, så man skal ha en usedvanlig lite oppdatert rotsertifikatsamling på PC-en dersom dette rotsertifikatet fortsatt mangler.