En række websteder og tjenester rapporterede problemer torsdag takket være udløbet af et rodcertifikat leveret af Let's Encrypt, en af de største udbydere af HTTPS -certifikater.
Omkring kl. 10 ET udløb IdentTrust DST Root CA X3 ifølge Scott Helme, grundlægger af Security Headers. Han har fulgt problemet og forklaret, at millioner af websteder er afhængige af Let's Encrypt -tjenester, og uden dem vil nogle ældre enheder ikke længere være i stand til at verificere visse certifikater.
Let's Encrypt fungerer som en gratis non-profit virksomhed, der sikrer, at forbindelserne mellem din enhed og internettet er sikre og krypterede.
På trods af forudgående advarsel om, at udløbsdatoen ville være den 30. september, da fristen nåede, rapporterede snesevis af brugere om problemer med en række forskellige tjenester og websteder.
Helme fortalte ZDNet, at han bekræftede problemer med Palo Alto, Bluecoat, Cisco Umbrella, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, Netlify og Cloudflare Pages, men bemærkede, at der kan være flere.
“Der er et par måder at løse dette på, afhængigt af hvad det nøjagtige problem er, men det koger ned på: Tjenesten/webstedet skal opdatere den certifikatkæde, de betjener til klienter, eller kunden, der taler med webstedet/tjenesten, har brug for en opdatering, “forklarede Helme.
“For de berørte virksomheder er det ikke sådan, at alt er nede, men de har bestemt serviceproblemer og har hændelser åbne med personale, der arbejder på at løse. På mange måder har jeg talt om dette i over et år, siden det sidst skete, men det er et svært problem at identificere. Det er som at lede efter noget, der kan forårsage brand: det er virkelig tydeligt, når man kan se røgen! “
Sådan fjernes Dells 'Superfish 2.0' rodcertifikat – permanent
Dells eDellroot -certifikatfejl udsætter brugerne for en række ondsindede angreb, men vejledning er nu tilgængelig for permanent fjernelse.
Læs mere
Nogle websteder lagde opslag på deres websted om potentielle problemer, og mange har løst problemerne. Shopify lagde en note op på sin hændelsesside, at omkring 15:30, købmand og virksomhedspartnere, der kæmpede for at logge ind, fik deres tjenester restaureret. Forhandlergodkendelse til supportinteraktioner er også blevet gendannet, oplyser virksomheden.
Fortinet fortalte ZDNet, at de var klar over og har undersøgt spørgsmålet vedrørende det udløbne rod -CA -certifikat leveret af Lets Encrypt.
“Vi kommunikerer direkte med kunderne og har givet en midlertidig løsning. Derudover arbejder vi på en langsigtet løsning for at løse dette kantspørgsmål direkte inden for vores produkt,” sagde virksomheden i en erklæring.
Ekspert i digitale certifikater Tim Callan sagde, at alle moderne digitale systemer er afhængige af certifikater for deres fortsatte drift, herunder dem, der sikrer vores cyber- og fysiske miljøer.
“Hvis software afhænger af en udløbet rod for at validere tillidskæden for et certifikat, vil certifikatets tillid mislykkes, og i de fleste tilfælde vil softwaren ophøre med at fungere korrekt. Konsekvenserne af det er lige så brede og varierede som vores individuelle systemer er, og mange gange vil kaskadefejl eller 'nedstrøms' -fejl føre til problemer med helt andre systemer end dem med det originale certifikattillidsproblem, “sagde Callan.
“IT -systemer, der håndhæver eller overvåger sikkerhedspolitikker, kan stoppe med at fungere. Alarmerings- og rapporteringssystemer kan mislykkes. Eller hvis de processer, som mennesker er afhængige af for at udføre vores arbejde, holder op med at fungere, vil disse mennesker ofte finde” løsninger “der er grundlæggende usikre.”
Callan tilføjede, at der kan opstå afbrydelser, når udviklere, der er indlejret i forretningsområder eller andre skunkworks -projekter, “indhenter certifikater” uden viden om central it og derefter går videre til nye opgaver eller på anden måde undlader at overvåge livscyklussen for disse certifikater.
Han bemærkede, at de fleste systemer vil kunne klare en rodudløb på grund af moderne rodkædefunktioner, der gør det muligt for en anden rod at opbygge tillid.
“Imidlertid er ældre systemer eller dem med tidligere uadresserede (eller ukendte) certifikathåndteringsfejl i fare for fejl som disse. I tilfælde af en almindeligt anvendt rod fra en populær CA, stiger risikoen for disse fejl betydeligt,” Callan forklarede.
TechCrunch rapporterede, at enheder, der kan have problemer, omfatter ældre macOS 2016 og Windows XP (med Service Pack 3) samt ældre versioner af Playstations og alle værktøjer, der er afhængige af OpenSSL 1.0.2 eller tidligere.
Andre eksperter sagde, at PlayStations 4s eller tidligere enheder, der ikke har deres firmware opgraderet, ikke vil have adgang til Internettet. Enheder som Android 7.1.1 eller tidligere vil også blive påvirket.
Ifølge Callan tillader den mest moderne software brug af sofistikerede tillidskæder, der tillader rodovergange uden at kræve udskiftning af produktionscertifikater. Men dem, der er gamle eller dårligt designet eller indeholder fejl til håndtering af tillidskæder, håndterer muligvis ikke denne overgang korrekt, hvilket fører til forskellige potentielle fejl.
Som mange af de berørte virksomheder siden har gjort, foreslog Callan virksomheder at foretage en oversigt over systemerne ved hjælp af certifikater og de faktiske certifikater i brug, før de sikrede, at softwaren har de nyeste rodcertifikater i sin root -butik.
“Ved at identificere, hvor potentielle fejlpunkter forekommer, kan it -afdelinger undersøge disse systemer på forhånd for at identificere problemområder og implementere rettelser. Hvis du kan oprette en version af systemet i et sandkassemiljø, er det let at teste forventet adfærd, når root udløber, “sagde Callan.
“Du skal bare indstille klientsystemets ur til en dato efter udløbsdatoen for at sikre, at certifikatkæden fungerer korrekt. Alternativt kan du manuelt afinstallere eller mistro den rod, der er indstillet til at udløbe (i sandkassemiljøet) , selvfølgelig) for at sikre dig selv, at systemer kun bruger de nyere rødder. “
Han tilføjede, at populariteten af DevOps-venlige arkitekturer som containerisering, virtualisering og cloud i høj grad har øget antallet af certifikater, virksomheden har brug for, samtidig med at deres gennemsnitlige levetid radikalt er reduceret.
“Det betyder mange flere udløbsbegivenheder, meget krævet mere administrationstid og stærkt øget risiko for en mislykket fornyelse, “sagde han.
Digital Shadows senior cyber -trusselanalytiker Sean Nikkel fortalte ZDNet, at Let's Encrypt gjorde alle opmærksom på tilbage i maj om udløbet af Root CA i dag og tilbød alternativer og løsninger til at sikre, at enheder ikke ville blive påvirket under omstilling.
De har også holdt en løbende forumtråd åben om dette problem med temmelig hurtige svar, tilføjede Nikkel.
“En ikke-god praksis, der allerede er blevet anvendt som en løsning på problemet, tillader upålidelige eller ugyldige certifikater. Brugere bør være forsigtige med at foretage et skridt, der potentielt åbner døren for angribere, der bruger kompromitterede certifikater, «sagde Nikkel.
“Nogle brugere har anbefalet indstillinger, der giver mulighed for udløbne certifikater fra udstedere, der er tillid til. Disse kan dog også have ondsindet anvendelse. Under alle omstændigheder bør administratorer undersøge den bedste løsning for dem, men også forstå risici for eventuelle løsninger. Alternativt kan administratorer se på alternative tillidsstier ved at bruge det mellemliggende certifikat, som Let's Encrypt har konfigureret eller følge foreslåede konfigurationer fra deres maj -bulletin. “
Microsoft tilbagekalder tillid til Dells farlige rodcertifikat
Firmaet sagde mest Windows-pc'er er “automatisk beskyttet.”
Læs mere
Relaterede emner:
Enterprise Software Security TV Data Management CXO Data Centers 