К чему может привести замена сертификата на сервере

В последнее время мы ведем разработку клиент-серверного приложения для Smart TV (LG и Samsung), которое взаимодействует с удаленным сервером через HTTPS-соединение.

Буквально пару недель назад на моделях устройств Samsung 2012 года приложение перестало запускаться из-за ошибки соединения с сервером. Мы стали выяснять причину проблемы, и в итоге смогли найти ее.

Проблема была в том, что на удаленном сервере был изменен сертификат безопасности, который больше не поддерживает протокол SSL 3.0 в связи с найденной ранее уязвимостью POODLE (CVE-2014-3566). И все бы ничего, но старые модели Samsung не поддерживают протоколы TSL, только SSL до версии 3.0.

К сожалению, официально доступная спецификация по ТВ не дает информации о поддерживаемых протоколах шифрования. Поэтому, для того, чтобы выяснить, какие все же протоколы шифрования поддерживает телевизор, на котором не работало наше приложения, я использовал сервис howsmyssl.com (просто открыл данный сайт в браузере ТВ и он вывел информацию, что TSL не поддерживается).

А для того, чтобы узнать, какие протоколы шифрования поддерживает сертификат, установленный на удаленном сервере, я воспользовался еще одним сервисом - https://sslcheck.globalsign.com, который вывел очень подробную информацию по уровню безопасности сервера.

Таким вот образом и была выявлена причина проблемы.

Samsung уже пообещал в самое ближайшее время выпустить обновление прошивки для тех устройств, которые не поддерживают TSL.