Een aantal websites en diensten meldden donderdag problemen dankzij het verlopen van een rootcertificaat van Let's Encrypt, een van de grootste aanbieders van HTTPS-certificaten.
Om ongeveer 10.00 uur ET verliep IdentTrust DST Root CA X3 volgens Scott Helme, oprichter van Security Headers. Hij heeft het probleem gevolgd en uitgelegd dat miljoenen websites afhankelijk zijn van Let's Encrypt-services en dat zonder deze services sommige oudere apparaten bepaalde certificaten niet meer kunnen verifiëren.
Let's Encrypt werkt als een gratis non-profitorganisatie die ervoor zorgt dat de verbindingen tussen uw apparaat en internet veilig en versleuteld zijn.
Ondanks de waarschuwing vooraf dat de vervaldatum op 30 september zou zijn, toen de deadline aanbrak, meldden tientallen gebruikers problemen met een verscheidenheid aan diensten en websites.
Helme vertelde ZDNet dat hij problemen met Palo Alto bevestigde, Bluecoat, Cisco Umbrella, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, Netlify en Cloudflare Pages, maar merkte op dat er mogelijk meer zijn.
“Er zijn een aantal manieren om dit op te lossen, afhankelijk van wat het exacte probleem is, maar het komt erop neer: de service/website moet de certificaatketen bijwerken die ze aan klanten aanbieden of, de klant die met de website/service praat, heeft een update,” legde Helme uit.
“Voor de getroffen bedrijven is het niet alsof alles plat ligt, maar ze hebben zeker serviceproblemen en hebben incidenten open met personeel dat werkt aan een oplossing. In veel opzichten praat ik hier al meer dan een jaar over sinds het voor het laatst is gebeurd, maar het is een moeilijk probleem om te identificeren. het is alsof je naar iets zoekt dat brand kan veroorzaken: het is echt duidelijk wanneer je de rook kunt zien!”
Het rootcertificaat van Dell 'Superfish 2.0' verwijderen – permanent
De blunder met het eDellroot-certificaat van Dell stelt gebruikers bloot aan een reeks kwaadaardige aanvallen, maar er zijn nu richtlijnen beschikbaar voor de definitieve verwijdering ervan.
Lees meer
Sommige sites hebben berichten op hun website geplaatst over mogelijke problemen en velen hebben de problemen opgelost. Shopify plaatste een opmerking op zijn incidentpagina dat tegen ongeveer 15.30 uur handelaars en bedrijfspartners die moeite hadden om in te loggen, hun diensten hersteld hadden. Verkopersauthenticatie voor ondersteuningsinteracties is ook hersteld, aldus het bedrijf.
Fortinet vertelde ZDNet dat ze op de hoogte waren van het probleem met betrekking tot het verlopen root-CA-certificaat dat door Lets Encrypt werd geleverd en dit hebben onderzocht.
“We communiceren rechtstreeks met klanten en hebben een tijdelijke oplossing geboden. Bovendien werken we aan een oplossing voor de langere termijn om dit edge-probleem rechtstreeks in ons product aan te pakken”, aldus het bedrijf in een verklaring.
Digitale certificaten-expert Tim Callan zei dat alle moderne digitale systemen afhankelijk zijn van certificaten voor hun continuïteit, inclusief de systemen die onze cyber- en fysieke omgevingen beveiligen.
“Als software afhankelijk is van een verlopen root om de vertrouwensketen voor een certificaat te valideren, dan zal het vertrouwen van het certificaat mislukken en in de meeste gevallen zal de software niet meer correct functioneren. De gevolgen daarvan zijn zo breed en gevarieerd als onze individuele systemen zijn, en vaak leiden trapsgewijze storingen of 'downstream'-storingen tot problemen met totaal andere systemen dan die met het oorspronkelijke certificaatvertrouwensprobleem,” zei Callan.
“IT-systemen die beveiligingsbeleid afdwingen of controleren, kunnen stoppen met werken. Waarschuwings- en rapportagesystemen kunnen falen. Of, als de processen waarvan mensen afhankelijk zijn om ons werk te doen, niet meer functioneren, zullen die mensen vaak “oplossingen vinden” ” die fundamenteel onveilig zijn.”
Callan voegde eraan toe dat storingen kunnen optreden wanneer ontwikkelaars die zijn ingebed in bedrijfsactiviteiten of andere skunkworks-projecten “certificaten verkrijgen” zonder medeweten van de centrale IT en vervolgens doorgaan met nieuwe taken of anderszins de levenscyclus van deze certificaten niet controleren.
Hij merkte op dat de meeste systemen een root-expiratie kunnen doorstaan vanwege moderne root-chaining-mogelijkheden waarmee een andere root vertrouwen kan vestigen.
“Echter, legacy-systemen of systemen met voorheen niet-geadresseerde (of onbekende) fouten in de afhandeling van certificaten lopen het risico dat dergelijke fouten optreden. In het geval van een veelgebruikte root van een populaire CA, neemt het risico van deze fouten aanzienlijk toe.” Callan legde uit.
TechCrunch meldde dat apparaten die mogelijk problemen kunnen ondervinden, oudere macOS 2016 en Windows XP (met Service Pack 3) zijn, evenals oudere versies van Playstations en alle tools die op OpenSSL 1.0.2 of eerder vertrouwen.
Andere experts zeiden dat PlayStations 4s of eerdere apparaten waarvan de firmware niet is geüpgraded, geen toegang tot internet kunnen krijgen. Apparaten zoals Android 7.1.1 of eerder zullen ook worden beïnvloed.
Volgens Callan maakt de meeste moderne software het gebruik van geavanceerde vertrouwensketens mogelijk die root-overgangen mogelijk maken zonder de vervanging van productiecertificaten. Maar degenen die oud of slecht ontworpen zijn of bugs in de afhandeling van de vertrouwensketen bevatten, kunnen deze overgang mogelijk niet correct afhandelen, wat kan leiden tot verschillende mogelijke fouten.
Zoals veel van de getroffen bedrijven sindsdien hebben gedaan, stelde Callan voor dat bedrijven een inventarisatie maken van de systemen die certificaten gebruiken en de daadwerkelijke certificaten die in gebruik zijn, voordat ze ervoor zorgen dat de software de nieuwste rootcertificaten in de rootstore heeft.
“Door te identificeren waar potentiële storingspunten optreden, kunnen IT-afdelingen deze systemen van tevoren onderzoeken om probleemgebieden te identificeren en oplossingen te implementeren. Als u een versie van het systeem in een sandbox-omgeving kunt opzetten, is het eenvoudig om het verwachte gedrag te testen zodra de root verloopt, “zei Callan.
“Stel de klok van het clientsysteem gewoon vooruit naar een datum na de vervaldatum om ervoor te zorgen dat de certificaatketen correct werkt. Als alternatief kunt u de root die is ingesteld om te verlopen handmatig verwijderen of wantrouwen (in de sandbox-omgeving , natuurlijk) om jezelf ervan te verzekeren dat systemen alleen de nieuwere root gebruiken.”
Hij voegde eraan toe dat de populariteit van DevOps-vriendelijke architecturen zoals containerisatie, virtualisatie en cloud het aantal certificaten dat de onderneming nodig heeft aanzienlijk heeft doen toenemen, terwijl hun gemiddelde levensduur radicaal is verkort.
“Dat betekent veel meer expiratiegebeurtenissen, veel meer meer administratietijd nodig en een sterk verhoogd risico op een mislukte verlenging”, zei hij.
Digital Shadows senior cyberbedreigingsanalist Sean Nikkel vertelde ZDNet dat Let's Encrypt iedereen in mei op de hoogte bracht over het verlopen van de root-CA vandaag en alternatieven en oplossingen aanbood om ervoor te zorgen dat apparaten tijdens de omschakeling.
Ze hebben ook een actieve forumthread over dit probleem opengehouden met vrij snelle reacties, voegde Nikkel eraan toe.
“Een niet-geweldige praktijk die al is geopperd als een tijdelijke oplossing voor het probleem, is het toestaan van niet-vertrouwde of ongeldige certificaten. Gebruikers moeten voorzichtig zijn met het doen van een stap die mogelijk de deur opent voor aanvallers die gecompromitteerde certificaten gebruiken”, aldus Nikkel.
“Sommige gebruikers hebben aanbevolen instellingen voor verlopen certificaten van vertrouwde uitgevers; deze kunnen echter ook kwaadaardig worden gebruikt. In ieder geval moeten beheerders de beste oplossing voor hen onderzoeken, maar ook de risico's van eventuele tijdelijke oplossingen begrijpen. Als alternatief kunnen beheerders kijken naar alternatieve vertrouwenspaden door het tussenliggende certificaat te gebruiken dat Let's Encrypt heeft ingesteld of door de voorgestelde configuraties uit hun bulletin van mei te volgen.”
Microsoft trekt vertrouwen in Dell's gevaarlijke rootcertificaat in
Het bedrijf zei het meest Windows-pc's zijn “automatisch beveiligd”.
Lees meer
Verwante onderwerpen:
Enterprise Software Beveiliging Tv-gegevensbeheer CXO-datacenters 