En rekke nettsteder og tjenester rapporterte problemer torsdag takket være utløpet av et rotsertifikat levert av Let's Encrypt, en av de største leverandørene av HTTPS -sertifikater.
Rundt klokken 10 ET utløp IdentTrust DST Root CA X3 ifølge Scott Helme, grunnlegger av Security Headers. Han har fulgt problemet og forklart at millioner av nettsteder er avhengige av Let's Encrypt -tjenester, og uten dem vil noen eldre enheter ikke lenger kunne bekrefte visse sertifikater.
Let's Encrypt fungerer som en gratis ideell organisasjon som sørger for at forbindelsene mellom enheten og internett er sikre og krypterte.
Til tross for forhåndsvarsel om at utløpsdatoen ville være 30. september, da fristen nådde, rapporterte dusinvis av brukere om problemer med en rekke tjenester og nettsteder.
Helme fortalte ZDNet at han bekreftet problemer med Palo Alto, Bluecoat, Cisco Umbrella, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, Netlify og Cloudflare Pages, men bemerket at det kan være flere.
“Det er et par måter å løse dette på, avhengig av hva det eksakte problemet er, men det koker ned til: Tjenesten/nettstedet må oppdatere sertifikatkjeden de betjener for klienter, eller kunden som snakker med nettstedet/tjenesten trenger en oppdatering, “forklarte Helme.
“For de berørte selskapene er det ikke som om alt er nede, men de har sikkert serviceproblemer og har hendelser åpne med ansatte som jobber med å løse. På mange måter har jeg snakket om dette i over et år siden det sist skjedde, men det er et vanskelig problem å identifisere. Det er som å lete etter noe som kan forårsake brann: det er virkelig åpenbart når du kan se røyken! “
Slik fjerner du Dells 'Superfish 2.0' rotsertifikat – permanent
Dells eDellroot -sertifikatfeil utsetter brukere for en rekke ondsinnede angrep, men veiledning er nå tilgjengelig for permanent fjerning.
Les mer
Noen nettsteder la ut meldinger på nettstedet deres om potensielle problemer, og mange har løst problemene. Shopify la ut et notat på hendelsessiden om at klokken 15.30 ble kjøpmann og selskapspartnere som slet med å logge på, reparert tjenestene. Selgergodkjenning for støtteinteraksjoner er også gjenopprettet, sa selskapet.
Fortinet fortalte ZDNet at de var klar over og har undersøkt problemet knyttet til utløpt rot -CA -sertifikat levert av Lets Encrypt.
“Vi kommuniserer direkte med kundene og har gitt en midlertidig løsning. I tillegg jobber vi med en langsiktig løsning for å løse dette kantspørsmålet direkte i vårt produkt,” sa selskapet i en uttalelse.
Ekspert i digitale sertifikater Tim Callan sa at alle moderne digitale systemer er avhengige av sertifikater for deres fortsatte drift, inkludert de som sikrer våre cyber- og fysiske miljøer.
“Hvis programvaren er avhengig av en utgått rot for å validere tillitskjeden for et sertifikat, vil sertifikatets tillit mislykkes, og i de fleste tilfeller vil programvaren slutte å fungere riktig. Konsekvensene av det er like brede og varierte som våre individuelle systemer er, og mange ganger vil kaskaderingsfeil eller 'nedstrøms' feil føre til problemer med helt andre systemer enn det med det opprinnelige sertifikattillitsproblemet, sa Callan.
“IT -systemer som håndhever eller overvåker sikkerhetspolicyer kan slutte å fungere. Varslings- og rapporteringssystemer kan mislykkes. Eller hvis prosessene mennesker er avhengige av for å utføre arbeidet vårt, slutter å fungere, vil de ofte finne” løsninger “som er grunnleggende usikre.”
Callan la til at det kan oppstå strømbrudd når utviklere som er innebygd i forretningsdrift eller andre skunkworks -prosjekter “får sertifikater” uten kunnskap om sentral IT og deretter går videre til nye oppgaver eller på annen måte ikke klarer å overvåke livssyklusen til disse sertifikatene.
Han bemerket at de fleste systemer vil kunne tåle en rotutløp på grunn av moderne rotkjedefunksjoner som gjør at en annen rot kan etablere tillit.
“Imidlertid er eldre systemer eller de med tidligere ikke -adresserte (eller ukjente) sertifikathåndteringsfeil i fare for at slike feil oppstår. I tilfelle en vanlig rot fra en populær CA, øker risikoen for disse feilene betraktelig,” Callan forklarte.
TechCrunch rapporterte at enheter som kan ha problemer inkluderer eldre macOS 2016 og Windows XP (med Service Pack 3), samt eldre versjoner av Playstations og alle verktøy som er avhengige av OpenSSL 1.0.2 eller tidligere.
Andre eksperter sa at PlayStations 4s eller tidligere enheter som ikke har oppgradert fastvaren, ikke vil ha tilgang til Internett. Enheter som Android 7.1.1 eller tidligere vil også bli påvirket.
Ifølge Callan tillater mest moderne programvare bruk av sofistikerte tillitskjeder som tillater rotoverganger uten at det kreves utskifting av produksjonssertifikater. Men de som er gamle eller dårlig designet eller inneholder feil i håndtering av tillitskjeder, kan ikke håndtere denne overgangen riktig, noe som kan føre til forskjellige potensielle feil.
Som mange av de berørte selskapene siden har gjort, foreslo Callan bedrifter å gjøre en oversikt over systemene ved hjelp av sertifikater og de faktiske sertifikatene som er i bruk før de sørger for at programvaren har de nyeste rotsertifikatene i rotlageret.
“Ved å identifisere hvor potensielle feilpunkter oppstår, kan IT -avdelinger undersøke disse systemene på forhånd for å identifisere problemområder og implementere reparasjoner. Hvis du kan sette opp en versjon av systemet i et sandkassemiljø, er det enkelt å teste forventet oppførsel når rotutløp skjer, “sa Callan.
“Bare sett klientsystemklokken fremover til en dato etter utløpsdatoen for å sikre at sertifikatkjeden fungerer som den skal. Alternativt kan du manuelt avinstallere eller mistro roten som skal utløpe (i sandkassemiljøet) , selvfølgelig) for å forsikre deg om at systemer bare bruker de nyere røttene. “
Han la til at populariteten til DevOps-vennlige arkitekturer som containerisering, virtualisering og sky har økt antallet sertifikater bedriften trenger, samtidig som de har redusert gjennomsnittlig levetid radikalt.
“Det betyr mange flere utløpsarrangementer, mye mer administrasjonstid kreves, og sterkt økt risiko for mislykket fornyelse, “sa han.
Senior cyber -trusselanalytiker Sean Nikkel i Digital Shadows sa til ZDNet at Let's Encrypt la alle på beskjed i mai om utløpet av Root CA i dag og tilbød alternativer og løsninger for å sikre at enheter ikke ville bli påvirket i løpet av overgang.
De har også holdt en løpende forumtråd åpen om dette problemet med ganske raske svar, la Nikkel til.
“En ikke-god praksis som allerede har blitt brukt som en løsning på problemet, er å tillate upålitelige eller ugyldige sertifikater. Brukere bør være forsiktige med å gjøre et trekk som potensielt åpner døren for angripere som bruker kompromitterte sertifikater, sier Nikkel.
“Noen brukere har anbefalt innstillinger som tillater utløpte sertifikater fra pålitelige utstedere. Imidlertid kan disse også ha ondsinnet bruk. Uansett bør administratorer undersøke den beste løsningen for dem, men også forstå risikoen for eventuelle løsninger. Alternativt kan administratorer se på alternative tillitsveier ved å bruke det mellomliggende sertifikatet som Let's Encrypt har satt opp eller følge foreslåtte konfigurasjoner fra mai -bulletinen. “
Microsoft tilbakekaller tillit til Dells farlige rotsertifikat
Selskapet sa mest Windows-PCer er “automatisk beskyttet.”
Les mer
Relaterte emner:
Enterprise Software Security TV Data Management CXO Data Centers 