Dusinvis av nettsteder og tjenester rapporterte problemer sent i forrige måned takket være utløpet av et rotsertifikat levert av Let's Encrypt, en av de største leverandørene av HTTPS-sertifikater.
Let's Encrypt og andre forskere hadde lenge advart at IdentTrust DST Root CA X3 ville utløpe 30. september, og mange plattformer fulgte oppfordringene og oppdaterte systemene sine. Men noen få gjorde det ikke, noe som førte til en mindre uro da brukere spurte hvorfor noen av favorittsidene deres ikke fungerte så bra som de burde.
Scott Helme, grunnleggeren av Security Headers, fortalte ZDNet at han bekreftet problemer med Palo Alto, Bluecoat, Cisco Umbrella, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero , QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, Netlify og Cloudflare-sider, men bemerket at det kan ha vært flere som ikke ble rapportert.
Millioner av nettsteder er avhengige av tjenestene som tilbys av Let's Encrypt, som fungerer som en gratis ideell organisasjon som sørger for at forbindelsene mellom enheten din og internett er sikre og krypterte.
Uten dem vil noen eldre enheter ikke lenger være i stand til å bekrefte visse sertifikater.
Josh Aas, administrerende direktør for Internet Security Research Group hos Let's Encrypt, sa til ZDNet at han var frustrert over hvordan noen utsalgssteder dekket utbruddene i september, og noen antydet at det var en feil eller en ulykke.
“Vi glemte ikke at det skulle utløpe eller noe. Vi har planlagt for dette i årevis. Vi visste at dette kom til å skje, og vi har bokstavelig talt planlagt for dette i årevis. Fordi vi har har planlagt dette i mange år, mye mindre ting gikk i stykker,” sa Aas.
“Internett er et enormt sted. Hvor mange millioner eller milliarder av enheter og servere og slike ting er der ute? Hver gang du endrer noe, vil ting gå i stykker. Jeg vil ikke minimere enhver forstyrrelse som var frustrerende for folk, men alt i alt kunne det vært verre.”
Aas forklarte at det er tre nivåer av sertifikater på internett. Det er sertifikater som nettsteder har kalt endeenhetssertifikater. Så er det to sertifikater utstedt av sertifikatmyndigheter som Let's Encrypt: rotsertifikater og mellomsertifikater.
Rotsertifikater er de viktigste tingene nettlesere stoler på, og mellomsertifikater er det organisasjoner som Let's Encrypt bruker til å utstede til nettstedene.
Som sagt er endeenhetssertifikater gyldige i ca. 90 dager: de mellomliggende sertifikatene er gyldige i ca. fem år, og rotsertifikater varer i ca. 20 år.
Når en er satt til å utløpe, introduserer organisasjoner som Let's Encrypt en ny og ber nettsteder om å adoptere den før den gamle utløper.
“Det er egentlig ingenting du kan gjøre for å unngå utløp av sertifikater. Sertifikater utløper; det er en tiltenkt ting. Det er bare det som skjer og det skjer av en rekke forskjellige grunner. Vi kan ikke forhindre det. Det er designet for å utløpe på den måten. Alle sertifiseringsinstanser fungerer på den måten,” sa Aas.
Let's Encrypt jobbet med hundrevis av nettsteder for å få dem byttet. Likevel har internett vokst betydelig, noe som gjør det vanskelig å få alle nettsteder, telefoner, nettlesere, bærbare datamaskiner og enheter endret.
Aas la til at det alltid ville være et antall enheter og nettlesere som ikke var i stand til å bytte når det gamle sertifikatet utløp.
“Vi prøver å holde det tallet så lavt som mulig gjennom oppsøking og gi folk verktøy for hvordan de skal være klare. Men det når ikke ut til alle. Internett er for stort til det,” forklarte Aas.
“Vi gjorde vårt beste for å prøve å gi råd og fortelle folk hva de kan gjøre for å flytte til det nye sertifikatet. Og det virker som om mange gjorde det. Mange ting ble fikset relativt raskt .”
Aas bemerket at sertifikater er designet for å utløpe for å beskytte settet med kryptografiske nøkler bak dem.
“Det er to nøkler som egentlig bare er veldig lange tall som er relatert til hverandre, og det er slik kryptografien bak sertifikater fungerer. Og en av disse nøklene, kalt en privat nøkkel, må beskyttes til enhver tid. ikke fortelle andre. Så nettsteder har den private nøkkelen for sine egne identitetssertifikater, men sertifikatmyndigheter som Let's Encrypt holder de private nøklene for rot- og mellomsertifikater,” forklarte Aas.
“Vi må sørge for at ingen andre noen gang finner ut hva disse nøklene er. De er veldig tungt beskyttet og bevoktet av oss. Men det er mulig at noen kunne ha fått en kopi av nøkkelen, og vi vet ikke. Som en generell beskyttelse i bransjen, vi roterer nøkler hver gang avhengig av risikoprofilen og slike ting. Så sertifikatutløp er i hovedsak en mekanisme for å rotere kryptografiske nøkler på internett over en viss tid for å sikre at disse nøklene aldri blir kompromittert. Jo lenger en nøkkel er i bruk, jo mer sannsynlig er det at det er et problem.”
Et av Let's Encrypt sine rotsertifikater ble utstedt i 2015, og et andre ble utstedt i 2020. Neste utløp for disse rotsertifikatene vil være om henholdsvis 15 år og 20 år.
Roten som utløp i forrige måned — IdentTrust DST Root CA X3 — ble utstedt i 2000. Aas bemerket at sertifiseringsinstansindustrien startet på slutten av 90-tallet og begynnelsen av 2000-tallet, noe som betyr at mange av sertifikatene ble utstedt tilbake deretter begynner å utløpe.
“De er på en måte gruppert i den tidsperioden da alle disse CA-ene startet, så jeg tror vi kommer til å se flere og flere av disse. Hver gang en av disse tingene utløper og forårsaker noen problemer på internett, er vi som et fellesskap av folk som bruker disse enhetene og sertifiseringsmyndighetene blir litt bedre til å håndtere problemet,” sa Aas.
Mens brukere og nettsteder behandlet problemer i forrige måned, sa Aas at det viktigste var at det var praksis for neste gang et sertifikat utløper.
Han oppfordret alle med flere spørsmål om emnet til å gå til Let's Encrypts Community Support Forum.
Andre eksperter gjentok det Aas sa, og forklarte at rotutløp er en sjelden, men normal forekomst og en nødvendighet i sertifiseringsmyndighetens økosystem.
Ed Giaquinto, CIO i Sectigo og en ekspert på digitale sertifikater, sa avbrudd forårsaket av rotutløp er ganske enkelt et resultat av dårlig sertifikatlivssyklusadministrasjon.
“Hvis en bedrift ikke har en nøyaktig oversikt over sertifikatene sine, inkludert deres kjeder til pålitelige røtter, så er utfall på grunn av utløp uunngåelige. Dette er nok et eksempel på hvordan god sertifikathygiene forhindrer strømbrudd,” sa Giaquinto.
“Et riktig verktøy for livssyklusadministrasjon lagerfører og viser all relevant sertifikatinformasjon, inkludert utløpsdatoene deres. Deretter, ved hjelp av automatisering, erstatter det disse sertifikatene før utløp, slik at IT-team kan være i forkant av spillet. Vi eksisterer ikke lenger i en verden der vi administrerer ganske enkelt noen få sertifikater for nettgrensesnitt. PKI-integrasjoner har plassert sertifikater overalt (flyktige datatjenester, containere, program-til-program, B2B og B2C kommunikasjon, etc.), og riktig administrasjon av sertifikatlivssyklusen er avgjørende for å forhindrer forretningsavbrudd.”
Nøkkelfaktorens sikkerhetssjef Chris Hickman gjentok Giaquintos kommentarer, og fortalte ZDNet at det største problemet i de fleste tilfeller er mangelen på automatisering for å distribuere det nye rot-CA-sertifikatet til de enhetene som må stole på det.
I mange organisasjoner administreres ikke rot-CA-sertifikatlagrene universelt, forklarte Hickman, og la til at dette kan føre til situasjoner som bare oppdatering av deler av nettverket, men ikke enheten til alle enheter som trenger å stole på den nye roten.
Hickman foreslo organisasjoner å bringe alle nøklene og sertifikatene sine i én enkelt beholdning ved å integrere direkte med nettverksendepunkter, nøkkellagre og CA-databaser for omfattende synlighet.
Han bemerket at de første tegnene på problemer dukket opp da AddTrust CA utløp i mai 2020, noe som førte til omfattende strømbrudd for strømme- og betalingstjenester som Roku, Stripe og Spreedly.
Nå blir produktene utviklet for å administrere Roots of Trust utenfor bånd til programvareoppdateringer – men denne prosessen strekker seg ikke til eldre produkter, la han til.
“Hvis du ikke oppdaterer dine eldre røtter, kan du ikke pushe oppdateringer, noe som resulterer i potensiell enhetsfeil. Med flere rot-CAer satt til å utløpe i 2021, er det viktig å sikre at oppdateringer kan sendes effektivt til innebygde og ikke -tradisjonelle operativsystemer, som erkjenner at mange eldre enheter kanskje ikke kan motta disse oppdateringene,” sa Hickman.
“En annen rynke i alt dette er UNIX-baserte systemer, siden disse enhetene ikke kan akseptere sertifikater med utløp utover år 2038. Denne situasjonen ligger an til å bli et veldig stort problem uten en klar løsning som ikke har fått mye oppmerksomhet til dags dato.”
Sikkerhet
Hackere fikk på en eller annen måte rootsettet sitt en Microsoft-utstedt digital signatur Dette monsteret av en phishing-kampanje er ute etter passordene dine SolarWinds hackere Nobelium skal slå globale IT-forsyningskjeder igjen, Microsoft advarer Hackere skjuler sin ondsinnede JavaScript-kode med et vanskelig triks Microsoft Teams: Videosamtalene dine har nettopp fått et stort sikkerhetsløft. Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, myndighetene Digital Transformation | Sikkerhets-TV | Databehandling | CXO | Datasentre