App-synchronisatieproblemen – verlopen IdenTrust DST root CA X3-certificaat

Op 30 september 2021 is het hoofdcertificaat waarop alle Let’s Encrypt SSL-certificaten zijn gebaseerd, namelijk het “IdentTrust DST Root CA X3”-certificaat, verlopen.

Dit betekent dat als een van jouw onlinediensten een Let’s Encrypt SSL-certificaat gebruikt, er een kans bestaat dat sommige apparaten zich niet meer kunnen verbinden met jouw onlinediensten.

Om specifieker te zijn: als je een Let’s Encrypt SSL-certificaat gebruikt, heb je waarschijnlijk nu een onvolledig SSL-certificaatketen, wat betekent dat sommige oudere besturingssystemen en andere software alle verbindingen met jouw webdiensten zullen weigeren omdat zij niet langer kunnen worden vertrouwd.

Beïnvloede clients

Of je verstoringen ondervindt, hangt af van de software en/of het besturingssysteem dat je gebruikt om verbinding te maken met een Let’s Encrypt SSL-beveiligde webdienst.

Android is met name erg streng als het gaat om volledig geldige SSL-certificaatketens, dus je kunt daar problemen verwachten.

Hieronder staat een lijst met alle momenteel bekende clients die worden beïnvloed door het verlopen van het “IdentTrust DST Root CA X3”-certificaat:

• OpenSSL <= 1.0.2
• Windows < XP SP3
• macOS < 10.12.1
• iOS < 10 (iPhone 5 is het laagste model dat iOS 10 kan bereiken)
• Android < 7.1.1 (maar >= 2.3.6 werkt als ISRG Root X1 cross-sign wordt gebruikt)
• Nieuwere Android-versies kunnen ook problemen hebben (hangt af van fabrikant)

Dit betekent dat als je bijvoorbeeld een externe webdienst hebt waarmee je direct verbinding maakt vanuit de app, terwijl je een Android-apparaat gebruikt en jouw externe webdienst afhankelijk is van de nu vervallen Let’s Encrypt SSL-keten, het besturingssysteem *kan* alle verbindingen met jouw webdienst als niet vertrouwd zien en deze weigeren.

Je SSL-certificaat opnieuw genereren

Omdat het hoofdcertificaat van LetsEncrypt is verlopen, moet je je SSL-certificaat opnieuw genereren en het vernieuwde certificaat installeren op de doelserver die je externe webdienst host.

Het vernieuwde certificaat van LetsEncrypt verwijst naar een niet-verlopen hoofdcertificaat, wat betekent dat er voor de meeste beïnvloede apparaten die proberen verbinding te maken met jouw externe webdiensten, geen verdere problemen meer zouden moeten zijn.

Problemen met oudere apparaten oplossen

1. Android-apparaten

• Upgrade jouw apparaten naar Android versie 7.1.1 of nieuwer.

2. iOS-apparaten

• Upgrade jouw apparaten naar iOS versie 10 of nieuwer,

3. Windows-apparaten

• Voer Windows-systeemupdate uit en zorg ervoor dat je alle nieuwste updates hebt geïnstalleerd.
• Overweeg OpenSSL op jouw computer bij te werken als Windows-updates niet werkten. Zie hier voor meer informatie: https://openssl-library.org/post/2021-09-13-letsencryptrootcertexpire/

Platform (WaaS) SSL-certificaten

Ons officiële advies voor het aanschaffen van WaaS SSL-certificaten is om ze bij Comodo te kopen, dus je hoeft je hier geen zorgen over te maken, tenzij je een Let’s Encrypt-certificaat voor jouw WaaS gebruikt in combinatie met een beïnvloed client/apparaat zoals hierboven vermeld.

Dezelfde mogelijke oplossingen als hierboven uitgelegd, gelden hier ook.

Meer informatie

Enkele nuttige externe bronnen die je kunnen helpen als je meer informatie nodig hebt:

• https://scotthelme.co.uk/lets-encrypt-old-root-expiration/
• https://openssl-library.org/post/2021-09-13-letsencryptrootcertexpire/
• https://letsencrypt.org/2020/12/21/extending-android-compatibility.html