Ett antal webbplatser och tjänster rapporterade problem på torsdagen tack vare att ett rotcertifikat upphörde med Let's Encrypt, en av de största leverantörerna av HTTPS -certifikat.
Omkring klockan 10 på ET löpte IdentTrust DST Root CA X3 ut enligt Scott Helme, grundare av Security Headers. Han har spårat problemet och förklarat att miljontals webbplatser förlitar sig på Let's Encrypt -tjänster och utan dem kommer vissa äldre enheter inte längre att kunna verifiera vissa certifikat.
Let's Encrypt fungerar som en kostnadsfri ideell organisation som ser till att anslutningarna mellan din enhet och internet är säkra och krypterade.
Trots förvarning om att utgångsdatumet skulle vara den 30 september, när tidsfristen nådde, rapporterade dussintals användare problem med olika tjänster och webbplatser.
Helme sa till ZDNet att han bekräftade problem med Palo Alto, Bluecoat, Cisco Umbrella, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, Netlify och Cloudflare Pages, men noterade att det kan finnas fler.
“Det finns ett par sätt att lösa detta beroende på vad det exakta problemet är, men det går ut på: Tjänsten/webbplatsen behöver uppdatera den certifikatkedja de betjänar till kunder eller, klienten som pratar med webbplatsen/tjänsten behöver en uppdatering, “förklarade Helme.
“För de drabbade företagen är det inte som att allt är nere, men de har säkert serviceproblem och har incidenter öppna med personal som arbetar för att lösa. På många sätt har jag pratat om det här i över ett år sedan det senast hände, men det är ett svårt problem att identifiera. Det är som att leta efter något som kan orsaka brand: det är verkligen uppenbart när du kan se röken! “
Så här tar du bort Dells “Superfish 2.0” -certifikat – permanent
Dells eDellroot -certifikatfel utsätter användare för en rad skadliga attacker men vägledning finns nu för dess permanenta borttagning.
Läs mer
Vissa webbplatser publicerade meddelanden på sin webbplats om potentiella problem och många har löst problemen. Shopify lade upp en anteckning på sin incident -sida att cirka 15:30, återförsäljare och företagspartners som kämpade med att logga in fick sina tjänster återställda. Handlarautentisering för supportinteraktioner har också återställts, sade företaget.
Fortinet berättade för ZDNet att de var medvetna om och har undersökt problemet som rör det utgångna rot -CA -certifikatet från Lets Encrypt.
“Vi kommunicerar direkt med kunderna och har tillhandahållit en tillfällig lösning. Dessutom arbetar vi med en långsiktig lösning för att ta itu med denna kantfråga direkt inom vår produkt”, säger företaget i ett uttalande.
Expert för digitala certifikat Tim Callan sa att alla moderna digitala system är beroende av certifikat för deras fortsatta drift, inklusive de som skyddar våra cyber- och fysiska miljöer.
“Om mjukvara beror på en utgången rot för att validera förtroendekedjan för ett certifikat, kommer certifikatets förtroende att misslyckas och i de flesta fall kommer programvaran att sluta fungera korrekt. Konsekvenserna av det är lika breda och varierande som våra enskilda system är, och många gånger kommer kaskadfel eller “nedströms” -fel att leda till problem med helt andra system än det med det ursprungliga certifikatförtroendeproblemet, säger Callan.
“IT -system som upprätthåller eller övervakar säkerhetspolicyer kan sluta fungera. Larm- och rapporteringssystem kan misslyckas. Eller, om processerna som människor är beroende av för att utföra vårt arbete slutar fungera, kommer de ofta att hitta” lösningar “som i grunden är osäkra.”
Callan tillade att avbrott kan uppstå när utvecklare inbäddade i affärsverksamhet eller andra skunkworks -projekt “skaffar certifikat” utan kännedom om central IT och sedan går vidare till nya uppgifter eller på annat sätt inte övervakar livscykeln för dessa certifikat.
Han noterade att de flesta system kommer att klara av en rotutgång på grund av moderna rotkedjefunktioner som gör att en annan rot kan skapa förtroende.
“Äldre system eller de med tidigare oadresserade (eller okända) certifikathanteringsfel riskerar dock att sådana här fel inträffar. Vid en vanlig rot från en populär CA ökar risken för dessa fel avsevärt,” Callan förklarade.
TechCrunch rapporterade att enheter som kan stöta på problem inkluderar äldre macOS 2016 och Windows XP (med Service Pack 3) samt äldre versioner av Playstations och alla verktyg som är beroende av OpenSSL 1.0.2 eller tidigare.
Andra experter sa att PlayStations 4s eller tidigare enheter som inte har uppgraderat sin fasta programvara inte kommer att kunna komma åt Internet. Enheter som Android 7.1.1 eller tidigare kommer också att påverkas.
Enligt Callan tillåter de flesta moderna programvaran användning av sofistikerade förtroendekedjor som tillåter rotövergångar utan att ersätta produktionscertifikat. Men de som är gamla eller dåligt utformade eller som innehåller buggar för hantering av förtroendekedjor kanske inte hanterar denna övergång korrekt, vilket leder till olika potentiella misslyckanden.
Som många av de berörda företagen sedan dess har gjort, föreslog Callan företag att inventera systemen med hjälp av certifikat och de faktiska certifikaten som används innan de ser till att programvaran har de senaste rotcertifikaten i sitt rotlager.
“Genom att identifiera var potentiella misslyckanden inträffar kan IT -avdelningar undersöka dessa system i förväg för att identifiera problemområden och implementera korrigeringar. Om du kan konfigurera en version av systemet i en sandlådemiljö är det enkelt att testa förväntat beteende när roten upphör, säger Callan.
“Ställ bara in klientsystemets klocka framåt till ett datum efter utgångsdatumet för att säkerställa att certifikatkedjan fungerar korrekt. Alternativt kan du manuellt avinstallera eller misstro roten som är inställd på att löpa ut (i sandlådemiljön , naturligtvis) för att försäkra dig om att systemen bara använder de nyare rötterna. “
Han tillade att populariteten hos DevOps-vänliga arkitekturer som containerisering, virtualisering och moln har kraftigt ökat antalet certifikat som företaget behöver, samtidigt som deras genomsnittliga livslängd radikalt minskat.
“Det betyder många fler utgångshändelser, mycket mer administreringstid krävs och kraftigt ökad risk för misslyckad förnyelse, säger han.
Digitala skuggar, senior cyberhotanalytiker Sean Nikkel, berättade för ZDNet att Let's Encrypt meddelade alla i maj om Root CA: s giltighetstid och erbjöd alternativ och lösningar för att säkerställa att enheter inte påverkas under övergång.
De har också hållit en löpande forumtråd öppen i den här frågan med ganska snabba svar, tillade Nikkel.
“En inte så bra metod som redan har använts som en lösning på problemet är att tillåta otillförlitliga eller ogiltiga certifikat. Användare bör vara försiktiga med att göra ett drag som potentiellt öppnar dörren för angripare som använder komprometterade certifikat, säger Nikkel.
“Vissa användare har rekommenderat inställningar som möjliggör utgångna certifikat från betrodda utgivare. Dessa kan dock också ha skadlig användning. I alla fall bör administratörer undersöka den bästa lösningen för dem men också förstå riskerna för eventuella lösningar. Alternativt kan administratörer titta på alternativa förtroendevägar genom att använda det mellanliggande certifikat som Let's Encrypt har konfigurerat eller följa föreslagna konfigurationer från deras maj -bulletin. “
Microsoft återkallar förtroendet för Dells farliga rotcertifikat
Företaget sa mest Windows-datorer är “automatiskt skyddade.”
Läs mer
Relaterade ämnen:
Enterprise Software Security TV Data Management CXO Data Center 