Назад | Перейти на главную страницу

Сервер доступа OpenVPN - обнаружено предупреждение X509_V_ERR_CERT_HAS_EXPIRED, но срок действия сертификата еще не истек.

Я пытался подключиться к сети openvpn моей компании через приложение MacOS openvpn и получал предупреждение "Сервер vpn.my_company.com имеет НЕДОВЕРЯЕМЫЙ сертификат SSL. Разрешить соединение?"

При нажатии на "Подробнее" причина гласит, что «X509_V_ERR_CERT_HAS_EXPIRED: срок действия сертификата истек». Но тогда у меня все равно есть возможность подключиться

И я проверил дополнительную информацию на веб-странице администратора OpenVPN, в разделе «Результаты проверки сертификата» отображается:

Результаты проверки веб-сертификата / ключа.

Предупреждение о доверии сертификата: срок действия сертификата истек

Срок действия: 2018.08.24 00:00:00 UTC

Действительно до: 2020.08.23 23:59:59 UTC -> что через несколько месяцев в будущем

Мой сертификат выпущен COMODO, и его статус все еще активен. Кроме того, когда я получаю доступ к vpn.my_company.com через веб-браузер, сертификат все еще в порядке, т.е. нет предупреждений об истекшем сертификате.

Есть идеи, почему приложение OpenVPN продолжает предупреждать меня об истекшем сертификате? И действительно ли мое соединение через приложение openvpn небезопасно? Или я могу просто проигнорировать предупреждение?

Большое спасибо за любой комментарий по этому поводу :)

Это ответ, который я получил от службы поддержки OpenVPN - мне необходимо обновить промежуточный сертификат.

Привет,

Проблема, по поводу которой вы связались с нами, связана с проблемой с сертификатом, выданным COMODO / Sectigo Addtrust или какой-либо третьей стороной, выпускающей свои сертификаты. Если у вас возникли проблемы с сертификатами COMODO / Sectigo Addtrust, мы рекомендуем вам связаться с ними или вашим эмитентом сертификатов для поддержки их сертификатов.

Некоторые из наших клиентов выразили потребность в дальнейшей поддержке с нашей стороны. Наша политика в отношении этого заключается в том, что проблема на самом деле не в сервере доступа, а в сертификате или его пакете CA. Он находится вне сервера доступа. Но мы можем дать вам несколько советов и ресурсов, которые могут вам помочь. Например, в ссылке на поддержку Sectigo есть упоминание о кросс-сертификате. Это позволяет использовать новый действительный сертификат и проверять его по старому корню CA, срок действия которого не истек. Это можно сделать со стороны сервера, на котором установлены сертификат и комплект CA. Он включает в себя получение пакета CA от издателя сертификата и добавление к нему содержимого перекрестного сертификата, которое можно найти на веб-сайте Sectigo. Это позволяет клиенту SSL, пытающемуся подтвердить, что он использует старый корень CA, срок действия которого еще не истек. Поэтому, если вы системный администратор и сталкиваетесь с проблемами с этими сертификатами от COMODO / Sectigo AddTrust, то вы можете рассмотреть этот вариант. Дополнительные ресурсы можно найти ниже.

30 мая 2020 года истек срок действия корневого сертификата CA от COMODO / Sectigo Addtrust. После этой даты в любых устаревших системах, использующих этот корневой сертификат ЦС, произойдет сбой или появится сообщение об ошибке, например «Срок действия сертификата истек» или «Сертификат недействителен» при проверке сертификата, подписанного COMODO / Sectigo Addtrust.

В некоторых случаях может случиться так, что у вас может быть действительный сертификат, но поскольку срок действия корневого сертификата ЦС, к которому он привязывается для проверки, истек, вы все равно получите сообщение о том, что срок действия сертификата истек или недействителен.

Более подробную информацию о проблеме и возможных решениях можно найти здесь, на официальном сайте Sectigo: https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA03l00000117LT

У Sectigo есть другие, более старые, унаследованные корни, кроме корня AddTrust, и они сгенерировали перекрестные сертификаты из одного, чтобы расширить обратную совместимость. Перекрестный сертификат подписывается корневым каталогом, который называется «AAA Certificate Services». Клиентам, которые встроили AddTrust External CA Root в свои приложения или настраиваемые устаревшие устройства, может потребоваться внедрить новую замену USERTrust RSA CA Root.

Старые серверы доступа могут содержать устаревшую корневую информацию CA. Чтобы решить эту проблему, вы можете обновить сервер доступа до последней версии, которая содержит самую последнюю информацию.

Если у вас возникли проблемы с сертификатами COMODO / Sectigo Addtrust, мы рекомендуем вам связаться с ними или вашим эмитентом сертификатов для поддержки их сертификатов.

С уважением, Йохан Драайзма, руководитель проекта Access Server и OpenVPN - будьте в курсе последних событий в области безопасности: https://openvpn.net/security-advisories/