RSA-Chain: SHA1-Problem (2024)

Einleitung

Nach Beantragung eines Zertifikats bei Sectigo/SCM erhalten Sie eine Mail, in denen das ausgestellte Zertifikat in unterschiedlichen Varianten (mit oder ohne CA-Chain, Chain allein) enthalten ist.

Für RSA-Zertifikate enthält die aktuell (08/2023) von Sectigo bereitgestellte Chain ein Zertifikat mit SHA1-Signatur. Das SHA1-Verfahren gilt als veraltet. Einige Anwendungen verweigern daher die Nutzung solcher Zertifikate.

Auch wenn Ihr Dienst aktuell SHA1-signierte Zertifikate akzeptiert, sollten Sie die am Ende dieser Seite beschriebene Lösung in Erwägung ziehen, um

für die evtl. strengeren Anforderungen künftiger Versionen Ihres Dienstes vorbereitet zu sein, und
um zukunftsfest zu werden für den Fall, dass evtl. auch Clients (Browser, ...) die Verbindung zu Servern ablehnen könnten, die noch SHA1-signierte Zertifikate ausliefern.

Diese Problematik betrifft nur RSA-Zertifikate von Sectigo/SCM.

EC-Zertifikate von SCM enthalten keine SHA1-signierten Zertifikate in der Chain und sind daher nicht betroffen.

Problem

Für ein RSA-Zertifikat sieht die über den SCM-Link bereitgestellte Chain bspw. wie folgt aus:

Server-Zertifikat

Subject: C=DE, ST=Hessen, O=Justus-Liebig-Universität Gießen, CN=server.sonst.uni-giessen.de
Issuer: C=NL, O=GEANT Vereniging, CN=GEANT OV RSA CA 4
Subject-Hash: 30ec63c0
Issuer-Hash: 08ab1bf8
Signature Algorithm: sha384WithRSAEncryption

Intermediate-Zertifikat 1

subject: C=NL, O=GEANT Vereniging, CN=GEANT OV RSA CA 4
issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Subject-Hash: 08ab1bf8
Issuer-Hash: fc5a8f99
Signature Algorithm: sha384WithRSAEncryption

Intermediate-Zertifikat 2

subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
issuer: C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=AAA Certificate Services
Subject-Hash: fc5a8f99
Issuer-Hash: ee64a828
Signature Algorithm: sha384WithRSAEncryption

Root-CA-Zertifikat


subject: C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=AAA Certificate Services
issuer: C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=AAA Certificate Services
Subject-Hash: ee64a828
Issuer-Hash: ee64a828
Signature Algorithm: sha1WithRSAEncryption

Lösung

Für das Intermediate-Zertifikat 2 "CN=USERTrust RSA Certification Authority" steht ein alternatives Zertifikat zur Verfügung.

Dieses neue Usertrust-Zertifikat bildet das Root-CA-Zertifikat der nun kürzeren Kette, da das problematische AAA-Zertifikat entfällt.

Neues Usertrust-Zertifikat

Ausgabe von "openssl x509 -text" für neues Usertrust-Root-Zertifikat als Root, selbstsigniert, SHA384-Signatur:

Certificate:
 Data:
 Version: 3 (0x2)
 Serial Number:
 01:fd:6d:30:fc:a3:ca:51:a8:1b:bc:64:0e:35:03:2d
 Signature Algorithm: sha384WithRSAEncryption
 Issuer: C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
 Validity
 Not Before: Feb 1 00:00:00 2010 GMT
 Not After : Jan 18 23:59:59 2038 GMT
 Subject: C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
 Subject Public Key Info:
 Public Key Algorithm: rsaEncryption
 RSA Public-Key: (4096 bit)
 Modulus:
 00:80:12:65:17:36:0e:c3:db:08:b3:d0:ac:57:0d:
 76:ed:cd:27:d3:4c:ad:50:83:61:e2:aa:20:4d:09:
 2d:64:09:dc:ce:89:9f:cc:3d:a9:ec:f6:cf:c1:dc:
 ...
 e9:62:ba:d6:5f:55:2e:ea:5c:c6:28:08:04:25:39:
 b8:0e:2b:a9:f2:4c:97:1c:07:3f:0d:52:f5:ed:ef:
 2f:82:0f
 Exponent: 65537 (0x10001)
 X509v3 extensions:
 X509v3 Subject Key Identifier:
 53:79:BF:5A:AA:2B:4A:CF:54:80:E1:D8:9B:C0:9D:F2:B2:03:66:CB
 X509v3 Key Usage: critical
 Certificate Sign, CRL Sign
 X509v3 Basic Constraints: critical
 CA:TRUE
 Signature Algorithm: sha384WithRSAEncryption
 5c:d4:7c:0d:cf:f7:01:7d:41:99:65:0c:73:c5:52:9f:cb:f8:
 ...
 16:f1:62:f9:ca:90:a8:fd

Altes Usertrust-Zertifikat

Zum Vergleich Ausgabe von "openssl x509 -text" für altes Usertrust-Intermediate-Zertifikat, ausgestellt von AAA-Root-CA, letzteres mit SHA1-Signatur:

Certificate:
 Data:
 Version: 3 (0x2)
 Serial Number:
 39:72:44:3a:f9:22:b7:51:d7:d3:6c:10:dd:31:35:95
 Signature Algorithm: sha384WithRSAEncryption
 Issuer: C = GB, ST = Greater Manchester, L = Salford, O = Comodo CA Limited, CN = AAA Certificate Services
 Validity
 Not Before: Mar 12 00:00:00 2019 GMT
 Not After : Dec 31 23:59:59 2028 GMT
 Subject: C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
 Subject Public Key Info:
 Public Key Algorithm: rsaEncryption
 RSA Public-Key: (4096 bit)
 Modulus:
 00:80:12:65:17:36:0e:c3:db:08:b3:d0:ac:57:0d:
 76:ed:cd:27:d3:4c:ad:50:83:61:e2:aa:20:4d:09:
 2d:64:09:dc:ce:89:9f:cc:3d:a9:ec:f6:cf:c1:dc:
 ...
 e9:62:ba:d6:5f:55:2e:ea:5c:c6:28:08:04:25:39:
 b8:0e:2b:a9:f2:4c:97:1c:07:3f:0d:52:f5:ed:ef:
 2f:82:0f
 Exponent: 65537 (0x10001)
 X509v3 extensions:
 X509v3 Authority Key Identifier:
 keyid:A0:11:0A:23:3E:96:F1:07:EC:E2:AF:29:EF:82:A5:7F:D0:30:A4:B4

 X509v3 Subject Key Identifier:
 53:79:BF:5A:AA:2B:4A:CF:54:80:E1:D8:9B:C0:9D:F2:B2:03:66:CB
 X509v3 Key Usage: critical
 Digital Signature, Certificate Sign, CRL Sign
 X509v3 Basic Constraints: critical
 CA:TRUE
 X509v3 Certificate Policies:
 Policy: X509v3 Any Policy

 X509v3 CRL Distribution Points:

 Full Name:
 URI:http://crl.comodoca.com/AAACertificateServices.crl

 Authority Information Access:
 OCSP - URI:http://ocsp.comodoca.com

 Signature Algorithm: sha384WithRSAEncryption
 18:87:51:dc:74:21:3d:9c:8a:e0:27:b7:33:d0:2e:cc:ec:f0:
 ...
 a1:a3:5f:95

Vergleich beider Zertifikate ergibt:

Identisch sind

Subject,
Subject-Hash,
Public Key Info (beide Zertifikate verwenden denselben privaten Schlüssel und sind daher austauschbar).

Unterschiedlich sind

Issuer,
Issuer-Hash,
Seriennummer,
Beginn und Ende der Gültigkeit.

Hinweise zur Umstellung

Um für Ihren Server das SHA1-Zertifikat zu ersetzen, müssen Sie

das AAA-Root-CA-Zertifkat mit der SHA1-Signator entfernen,
das durch AAA ausgestellte Usertrust-Zertifikat entfernen und durch das selbst-signierte Usertrust-Zertifikat ersetzen.

In einer Appliance

Sofern Sie dies in einer Appliance tun, beachten Sie bitte folgende Hinweise:

Prüfen Sie vor dem Löschen von Zertifikaten, welche Auswirkungen dies haben könnte, auch auf andere in Ihrer Appliance genutzten Dienste, die evtl. andere Zertifikate nutzen!
Wenn Sie eine Datei hochladen, die komplett Ihr Server-Zertifikat und die vollständige neue Chain (Download siehe weiter unten) enthält, nimmt Ihre Appliance diese eventuell trotzdem auseinander, legt die enthaltenen Zertifikate intern separat ab und setzt dann für Ihren Dienst eine Chain nach eigenem Gusto wieder zusammen. Solange das alte, von AAA ausgestellte CA-Zertifikat noch vorhanden ist, wird Ihnen dieses dann möglicherweise wieder untergeschoben.
Stellen Sie also sicher, dass die alten Zertikate gelöscht sind.
Beachten Sie, welches Zertifikat Sie löschen: Für altes und neues Zertifikat sind Subject und Subject-Hash identisch.

Ablage als PEM-Datei

Je nachdem, in welcher Zusammensetzung Ihr Dienst Zertifikat und Chain erwartet, müssen Sie die Datei selbst zusammenstellen.

Für bspw. Apache, in dem die per Direktive SSLCertificateFile angegebene Datei zunächst das Server-Zertifikat und anschließend die aufsteigende Chain enthalten sollte, hängen Sie Ihrem Server-Zertifikat die neue Chain an.

Neue Chain

Bitte verwenden Sie die nachfolgende Chain nicht ungeprüft. Sofern Sectigo den Issuer für RSA-Zertifikate wechselt, würde nachfolgend genannte Chain nicht mehr passen und Ihr SSL/TLS-Dienst nicht mehr starten! Bitte informieren Sie uns in dieserm Fall per Mail an unigi-ca

Das neue selbst-signierte Usertrust-Zertifikat finden Sie unter Linux/Ubuntu als /etc/ssl/certs/USERTrust_RSA_Certification_Authority.pem

Die neue Chain ist (Download):