AddTrust root certificaqte即將過期其實於一年多前開始即已公告於各大網路平台,大部分客戶其實也不會感受到有甚麼具體的影響,許多安全網站也評估為不須做任何對應處理。甚至連CA都覺得只要有正確安裝中繼憑證就不會有問題。 但實務上,因使用環境的複雜,還是有少數客戶遇到了服務中斷的問題,主要都是在API服務這部分,目前問題整理如下。
1. 一般web,browser服務: a.有正確安裝chain憑證者不用做任何事: (以下名稱有附憑證連結,點選即可下載) 會安裝AddTrust或AAA的中繼憑證,都是為了提高系統相容性,因AddTrust為2000年起即提供服務,AAA也至少是2004年起提供服務,可為舊的瀏覽器或行動裝置提供服務
b.只裝了server憑證者: 瀏覽器客戶端會自動提供信任練,無影響 c.建議即使沒問題的客戶也將AddTrust中繼憑證更換為AAA中繼憑證。
2.提供 API 串接服務: (重點在移除舊的中繼憑證,加入AAA根憑證) - Apache/Unix :
指定新的bundle憑證位置重開服務即完成更新 - Java base :
將keystore裡的中繼憑證(UserTrust / AddTrust)和root(AddTrust)移除,匯入新的中繼憑證(UserTrust / AAA)和root(AAA)即可, 也可採用將jks檔案中key匯出至新的keystore,然後重新將server憑證及新的chain與root匯入的方案 - IIS / pfx :
IIS將新的中繼憑證(UserTrust / AAA)匯入,並移除舊的中繼憑證(UserTrust / AddTrust)即可, pfx格式處裡方式為先匯入IIS,再使用上述方式處裡完中繼憑證問題,再重新匯出新的pfx(包含所有中繼憑證) - 其他server:
處理方式都一樣,移除舊的中繼憑證(UserTrust / AddTrust)和root(AddTrust),匯入新的中繼憑證(UserTrust / AAA)和root(AAA)即可。
以上操作方式有任何問題都可以來電洽詢本公司客服中心,亦可提供免費遠端桌面協助系統更新服務。
3.B2B有互相綁定憑證的服務: 除了主機端照上述原則更新中繼憑證外,必要時對方也必需更換中繼憑證,如只綁定主要server憑證者不須更新。
4.類似F5等硬體服務: 都是以移除舊中繼憑證(UserTrust / AddTrust),匯入新的中繼憑證(UserTrust / AAA)和root(AAA)後重啟服務為修正方案
5.弱點掃描問題: a.顯示憑證練其中一個已過期: 如果瀏覽器可正常瀏覽,那沒有立即的問題,當然還是建議客戶將中繼憑證即根憑證更換。 b.如果顯示其中有憑證練使用較低安全性憑證: 那是只為了提高相容性而使用了AddTrust或AAA根憑證,此兩張憑證皆為Sha1等級憑證,而其他憑證皆為Sha384等級以上憑證。 Sha1等級憑證被視為低安全等級,但大部分舊瀏覽器或行動裝置只支援Sha1等級舊root,是否要提供此類客戶服務,必須從支援性與安全性取得一個平衡點。 在加密服務本身使用的是Server憑證(Sha384以上等級),所以安全上還是沒問題的,但對於安全政策與風險控管上,視客戶內部要求與評估而決定是否要使用。
6.將本公司下列信箱加入白名單 因本公司郵件公告服務常被提報為spam黑名單,導致許多客戶無法收到本公司公告或新聞通知信,強烈建議請客戶將本公司下列信箱加入白名單 網域: ssl.com.tw / globaltrust.com.tw 主機: mail.ssl.com.tw / mail.globaltrust.com.tw
7.收不到安全通知信件問題 即使是既有客戶,但仍有許多客戶在申請憑證時未勾選[接受本公司安全公告通知信]選項,本公司不會濫發廣告信,請在申請時勾選收信服務,否則將不會收到除了憑證到期提醒以外的信件。 部份想修改通知選項的客戶可以直接通知客服,目前系統並未提供修改功能,但客服會再請技術部門協助修改,新網站即將上線,將會另外提供安全公告通知信服務選項設定服務。
8.即時通告服務 因郵件收件的不穩定,及重大安全性通知需求,後續本公司將研擬是否額外增加SMS簡訊通知服務,如確定提供,待服務上線後可提供即時通告服務。
|