Un certo numero di siti Web e servizi ha segnalato problemi giovedì grazie alla scadenza di un certificato radice fornito da Let's Encrypt, uno dei maggiori fornitori di certificati HTTPS.
Intorno alle 10:00 ET, IdentTrust DST Root CA X3 è scaduto secondo Scott Helme, fondatore di Security Headers. Ha monitorato il problema e ha spiegato che milioni di siti web si affidano ai servizi Let's Encrypt e senza di essi, alcuni dispositivi meno recenti non saranno più in grado di verificare determinati certificati.
Let's Encrypt opera come un'organizzazione no-profit gratuita che si assicura che le connessioni tra il tuo dispositivo e Internet siano sicure e crittografate.
Nonostante l'avvertimento anticipato che la data di scadenza sarebbe stata il 30 settembre, quando la scadenza è arrivata, dozzine di utenti hanno segnalato problemi con una varietà di servizi e siti Web.
Helme ha dichiarato a ZDNet di aver confermato problemi con Palo Alto, Bluecoat, Cisco Umbrella, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, Netlify e Cloudflare Pages, ma ha notato che potrebbero essercene di più.
“Ci sono un paio di modi per risolvere questo problema a seconda di quale sia il problema esatto, ma si riduce a: il servizio/sito web deve aggiornare la catena di certificati che sta servendo ai clienti oppure, il cliente che parla con il sito web/servizio ha bisogno di un aggiornamento”, ha spiegato Helme.
“Per le aziende colpite non è che tutto sia inattivo, ma stanno sicuramente avendo problemi di servizio e hanno incidenti aperti con il personale che lavora per risolverli. In molti modi ne ho parlato per oltre un anno dall'ultima volta che è successo, ma è un problema difficile da identificare, è come cercare qualcosa che potrebbe causare un incendio: è davvero evidente quando si vede il fumo!”
Come rimuovere il certificato radice “Superfish 2.0” di Dell in modo permanente
L'errore del certificato eDellroot di Dell espone gli utenti a una serie di attacchi dannosi, ma ora sono disponibili indicazioni per la sua rimozione permanente.
Leggi di più
Alcuni siti hanno pubblicato avvisi sul proprio sito Web su potenziali problemi e molti hanno risolto i problemi. Shopify ha pubblicato una nota sulla sua pagina dell'incidente che verso le 15:30, i partner commerciali e aziendali che stavano lottando per accedere hanno ripristinato i loro servizi. Anche l'autenticazione del commerciante per le interazioni di supporto è stata ripristinata, ha affermato la società.
Fortinet ha detto a ZDNet di essere a conoscenza e di aver indagato sul problema relativo al certificato CA radice scaduto fornito da Lets Encrypt.
“Stiamo comunicando direttamente con i clienti e abbiamo fornito una soluzione temporanea. Inoltre, stiamo lavorando a una soluzione a lungo termine per affrontare questo problema limite direttamente all'interno del nostro prodotto”, ha affermato la società in una nota.
L'esperto di certificati digitali Tim Callan ha affermato che tutti i moderni sistemi digitali dipendono dai certificati per il loro funzionamento continuo, compresi quelli che proteggono i nostri ambienti informatici e fisici.
“Se il software dipende da una radice scaduta per convalidare la catena di fiducia per un certificato, allora la fiducia del certificato fallirà e nella maggior parte dei casi il software cesserà di funzionare correttamente. Le conseguenze di ciò sono ampie e varie come lo sono i nostri sistemi individuali, e molte volte errori a cascata o errori “a valle” porteranno a problemi con sistemi completamente diversi da quello con il problema di attendibilità del certificato originale”, ha affermato Callan.
“I sistemi IT che applicano o monitorano le politiche di sicurezza possono smettere di funzionare. I sistemi di avviso e segnalazione possono fallire. Oppure, se i processi da cui dipendono gli esseri umani per svolgere il nostro lavoro smettono di funzionare, spesso queste persone troveranno “soluzioni “che sono fondamentalmente insicuri.”
Callan ha aggiunto che possono verificarsi interruzioni quando gli sviluppatori incorporati in linee di attività aziendali o altri progetti skunkworks “ottengono certificati” senza la conoscenza dell'IT centrale e quindi passano a nuove attività o altrimenti non riescono a monitorare il ciclo di vita di questi certificati.
Ha notato che la maggior parte dei sistemi sarà in grado di resistere alla scadenza della radice grazie alle moderne capacità di concatenamento delle radici che consentono a un'altra radice di stabilire l'attendibilità.
“Tuttavia, i sistemi legacy o quelli con errori di gestione dei certificati precedentemente non indirizzati (o sconosciuti) sono a rischio che si verifichino errori come questi. Nel caso di una radice comunemente usata da una CA popolare, il rischio di questi errori aumenta considerevolmente”, Callan ha spiegato.
TechCrunch ha riferito che i dispositivi che potrebbero riscontrare problemi includono macOS 2016 e Windows XP precedenti (con Service Pack 3), nonché versioni precedenti di Playstation e qualsiasi strumento basato su OpenSSL 1.0.2 o precedente.
Altri esperti hanno affermato che PlayStation 4 o dispositivi precedenti che non hanno avuto il firmware aggiornato non saranno in grado di accedere a Internet. Saranno interessati anche dispositivi come Android 7.1.1 o versioni precedenti.
Secondo Callan, la maggior parte dei software moderni consente l'uso di sofisticate catene di fiducia che consentono le transizioni root senza richiedere la sostituzione dei certificati di produzione. Ma quelli che sono vecchi o mal progettati o che contengono bug di gestione della catena di fiducia potrebbero non gestire correttamente questa transizione, portando a vari potenziali errori.
Come hanno fatto molte delle aziende interessate da allora, Callan ha suggerito alle aziende di fare un inventario dei sistemi che utilizzano i certificati e dei certificati effettivamente in uso prima di assicurarsi che il software disponga dei certificati radice più recenti nell'archivio radice.
“Identificando dove si verificano potenziali punti di errore, i reparti IT possono esaminare questi sistemi in anticipo per identificare le aree problematiche e implementare le soluzioni. Se è possibile configurare una versione del sistema in un ambiente sandbox, è facile testare il comportamento previsto una volta che il si verifica la scadenza della radice”, ha detto Callan.
“È sufficiente impostare l'orologio del sistema client in avanti a una data successiva alla data di scadenza per garantire che il concatenamento del certificato funzioni correttamente. In alternativa, è possibile disinstallare manualmente o non fidarsi della radice impostata per scadere (nell'ambiente sandbox , ovviamente) per assicurarti che i sistemi utilizzino solo le radici più recenti.”
Ha aggiunto che la popolarità delle architetture compatibili con DevOps come la containerizzazione, la virtualizzazione e il cloud ha notevolmente aumentato il numero di certificati di cui l'azienda ha bisogno, riducendo drasticamente la loro durata media.
“Ciò significa molti più eventi di scadenza, molto più tempo richiesto per l'amministrazione e un rischio notevolmente maggiore di un mancato rinnovo”, ha affermato.
Sean Nikkel, analista senior di minacce informatiche di Digital Shadows, ha dichiarato a ZDNet che Let's Encrypt ha avvisato tutti a maggio della scadenza odierna della Root CA e ha offerto alternative e soluzioni alternative per garantire che i dispositivi non sarebbero stati interessati durante il cambio.
Hanno anche tenuto aperto un thread del forum in corso su questo problema con risposte abbastanza rapide, ha aggiunto Nikkel.
“Una pratica non eccezionale che è già stata introdotta come soluzione alternativa al problema è consentire certificati non attendibili o non validi. Gli utenti dovrebbero essere cauti nel fare una mossa che potenzialmente apre la porta agli aggressori che utilizzano certificati compromessi”, ha affermato Nikkel.
“Alcuni utenti hanno consigliato impostazioni che consentono certificati scaduti da emittenti attendibili; tuttavia, questi possono anche avere usi dannosi. In ogni caso, gli amministratori dovrebbero esaminare la soluzione migliore per loro, ma anche comprendere i rischi per eventuali soluzioni alternative. In alternativa, gli amministratori possono guardare percorsi di fiducia alternativi utilizzando il certificato intermedio che Let's Encrypt ha impostato o seguendo le configurazioni suggerite dal bollettino di maggio.”
Microsoft revoca la fiducia nel pericoloso certificato radice di Dell
La società ha affermato di più I PC Windows sono “protetti automaticamente”.
Ulteriori informazioni
Argomenti correlati:
Sicurezza software aziendale Gestione dati TV CXO Data Center 