Dusinvis af websteder og tjenester rapporterede problemer i slutningen af sidste måned takket være udløbet af et rodcertifikat leveret af Let's Encrypt, en af de største udbydere af HTTPS-certifikater.
Let's Encrypt og andre forskere havde længe advaret, at IdentTrust DST Root CA X3 ville udløbe den 30. september, og mange platforme fulgte opkaldene og opdaterede deres systemer. Men et par stykker gjorde det ikke, hvilket forårsagede en mindre kerfuffle, da brugerne spurgte, hvorfor nogle af deres yndlingssider ikke fungerede så godt, som de burde.
Scott Helme, grundlæggeren af Security Headers, fortalte ZDNet, at han bekræftede problemer med Palo Alto, Bluecoat, Cisco Umbrella, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero , QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, Netlify og Cloudflare-sider, men bemærkede, at der kan have været flere, der ikke blev rapporteret.
Millioner af websteder er afhængige af tjenesterne leveret af Let's Encrypt, som fungerer som en gratis non-profit, der sørger for, at forbindelserne mellem din enhed og internettet er sikre og krypteret.
Uden dem vil nogle ældre enheder ikke længere være i stand til at verificere visse certifikater.
Josh Aas, administrerende direktør for Internet Security Research Group hos Let's Encrypt, fortalte ZDNet, at han var frustreret over, hvordan nogle forretninger dækkede septemberafbrydelserne, hvor nogle antydede, at det var en fejl eller en ulykke.
“Vi glemte ikke, at det skulle udløbe eller noget. Vi har planlagt det her i årevis. Vi vidste, at det her ville ske, og vi har bogstaveligt talt planlagt for det her i årevis. Fordi vi har har planlagt det her i årevis, gik meget færre ting i stykker,” sagde Aas.
“Internettet er et enormt sted. Hvor mange millioner eller milliarder af enheder og servere og den slags er der derude? Hver gang du ændrer noget, går tingene i stykker. Jeg vil ikke minimere enhver forstyrrelse, der var frustrerende for folk, men alt i alt kunne det have været værre.”
Aas forklarede, at der er tre niveauer af certifikater på internettet. Der er certifikater, som websteder har kaldt slutenhedscertifikater. Så er der to certifikater udstedt af certifikatmyndigheder som Let's Encrypt: rodcertifikater og mellemliggende certifikater.
Rodcertifikater er de vigtigste ting, som browsere har tillid til, og mellemliggende certifikater er, hvad organisationer som Let's Encrypt bruger til at udstede til webstederne.
Som sagt er slutenhedscertifikater gyldige i omkring 90 dage: De mellemliggende certifikater er gyldige i omkring fem år, og rodcertifikater holder i omkring 20 år.
Når en er indstillet til at udløbe, introducerer organisationer som Let's Encrypt en ny og beder websteder om at adoptere den, før den gamle udløber.
“Der er virkelig ikke noget, du kan gøre ved at undgå certifikatudløb. Certifikater udløber; det er en tilsigtet ting. Det er bare, hvad der sker, og det sker af en række forskellige årsager. Vi kan ikke forhindre det. Det er designet til at udløbe på den måde. Alle certifikatmyndigheder fungerer på den måde,” sagde Aas.
Let's Encrypt arbejdede med hundredvis af websteder for at få dem skiftet. Alligevel er internettet vokset markant, hvilket gør det vanskeligt at få alle websteder, telefoner, browsere, bærbare computere og enheder ændret.
Aas tilføjede, at der altid ville være et antal enheder og browsere, der ikke var i stand til at skifte, når det gamle certifikat udløb.
“Vi forsøger at holde det tal så lavt som muligt gennem opsøgende og give folk værktøjer til, hvordan de kan være klar. Men det når ikke ud til alle. Det er internettet for stort til,” forklarede Aas.
“Vi gjorde vores bedste for at prøve at give råd og fortælle folk, hvad de kan gøre for at flytte til det nye certifikat. Og det ser ud til, at mange mennesker gjorde det. Mange ting blev rettet relativt hurtigt .”
Aas bemærkede, at certifikater er designet til at udløbe for at beskytte sættet af kryptografiske nøgler bag dem.
“Der er to nøgler, som i bund og grund bare er rigtig lange tal, der er relateret til hinanden, og det er sådan, kryptografien bag certifikater fungerer. Og en af disse nøgler, kaldet en privat nøgle, skal beskyttes til enhver tid. Så hjemmesider har den private nøgle til deres egne identitetscertifikater, men certifikatmyndigheder som Let's Encrypt holder de private nøgler til rod- og mellemcertifikater,” forklarede Aas.
“Vi skal sikre os, at ingen andre nogensinde finder ud af, hvad de nøgler er. De er meget stærkt beskyttet og bevogtet af os. Men det er muligt, at nogen kunne have fået en kopi af nøglen, og det ved vi ikke. Som en generelle sikkerhedsforanstaltninger i branchen, vi roterer nøgler hver gang, afhængigt af risikoprofilen og lignende. Så certifikatudløb er i bund og grund en mekanisme til at rotere kryptografiske nøgler på internettet over en vis tid for at sikre, at disse nøgler aldrig er kompromitteret. Jo længere en nøgle er i brug, jo mere sandsynligt er det, at der er et problem.”
Et af Let's Encrypts rodcertifikater blev udstedt i 2015, og et andet blev udstedt i 2020. Næste udløb for disse rodcertifikater vil være om henholdsvis 15 år og 20 år.
Roden, der udløb i sidste måned – IdentTrust DST Root CA X3 – blev udstedt i 2000. Aas bemærkede, at certifikatmyndighedens industri startede i slutningen af 90'erne og begyndelsen af 2000'erne, hvilket betyder, at mange af certifikaterne blev udstedt tilbage derefter begynder at udløbe.
“De er en slags grupperet i den periode, hvor alle disse CA'er startede, så jeg tror, vi kommer til at se flere og flere af disse. Hver gang en af disse ting udløber og forårsager nogle problemer på internettet, er vi som et fællesskab af folk, der betjener disse enheder, og certifikatmyndigheder bliver lidt bedre til at håndtere problemet,” sagde Aas.
Mens brugere og websteder behandlede problemer i sidste måned, sagde Aas, at hovedet er, at det var praksis for næste gang et certifikat udløber.
Han opfordrede alle med flere spørgsmål om emnet til at gå til Let's Encrypt's Community Support Forum.
Andre eksperter gentog, hvad Aas sagde, og forklarede, at rodudløb er en sjælden, men normal forekomst og en nødvendighed i certifikatmyndighedens økosystem.
Ed Giaquinto, CIO i Sectigo og ekspert i digitale certifikater, sagde afbrydelser forårsaget af root-udløb er simpelthen resultater af dårlig certifikatlivscyklusstyring.
“Hvis en virksomhed ikke har en nøjagtig opgørelse over sine certifikater, inklusive deres kæder til pålidelige rødder, så er udfald på grund af udløb uundgåelige. Dette er endnu et eksempel på, hvordan god certifikathygiejne forhindrer udfald,” sagde Giaquinto.
“Et ordentligt livscyklusstyringsværktøj inventar og viser alle relevante certifikatoplysninger, inklusive deres udløbsdatoer. Derefter erstatter det ved hjælp af automatisering disse certifikater før udløb, hvilket gør det muligt for it-teams at være foran spillet. Vi eksisterer ikke længere i en verden, hvor vi administrerer ganske enkelt nogle få certifikater til web-frontends. PKI-integrationer har placeret certifikater overalt (ephemeral compute-tjenester, containere, program-til-program, B2B og B2C kommunikation osv.), og korrekt styring af certifikatets livscyklus er afgørende for forebyggelse af forretningsafbrydelser.”
Keyfactor Chief Security Officer Chris Hickman gentog Giaquintos kommentarer og fortalte ZDNet, at det største problem i de fleste tilfælde er mangel på automatisering til at distribuere det nye root CA-certifikat til de enheder, der skal stole på det.
I mange organisationer administreres rod-CA-certifikatlagrene ikke universelt, forklarede Hickman og tilføjede, at dette kan føre til situationer som kun at opdatere dele af netværket, men ikke enheden af alle enheder, der skal have tillid til den nye rod.
Hickman foreslog organisationer at bringe alle deres nøgler og certifikater i en enkelt beholdning ved at integrere direkte med netværksslutpunkter, nøglelagre og CA-databaser for omfattende synlighed.
Han bemærkede, at de første tegn på problemer dukkede op, da AddTrust CA udløb i maj 2020, hvilket forårsagede omfattende udfald for streaming- og betalingstjenester som Roku, Stripe og Spreedly.
Nu bliver produkter designet til at administrere Roots of Trust uden for bånd til softwareopdateringer – men den proces strækker sig ikke til ældre produkter, tilføjede han.
“Hvis du ikke opdaterer dine ældre rødder, kan du ikke pushe opdateringer, hvilket resulterer i potentiel enhedsfejl. Med flere root-CA'er sat til at udløbe i 2021, er det vigtigt at sikre, at opdateringer kan sendes effektivt og effektivt til indlejret og ikke -traditionelle operativsystemer, der erkender, at mange ældre enheder muligvis ikke er i stand til at modtage disse opdateringer,” sagde Hickman.
“En anden rynke i alt dette er UNIX-baserede systemer, da disse enheder ikke kan acceptere certifikater med udløb efter år 2038. Denne situation er klar til at blive et meget stort problem uden en klar løsning, der ikke har har fået meget opmærksomhed til dato.”
Sikkerhed
Hackere fik på en eller anden måde deres rootkit en Microsoft-udstedt digital signatur Dette monster af en phishing-kampagne er ude efter dine adgangskoder SolarWinds hackere Nobelium til at slå globale it-forsyningskæder igen, Microsoft advarer Hackere skjuler deres ondsindede JavaScript-kode med et svært at slå trick Microsoft Teams: Dine videoopkald har lige fået et stort sikkerhedsløft Cybersikkerhed 101: Beskyt dit privatliv mod hackere, spioner, regeringen Digital transformation | Sikkerheds-tv | Datastyring | CXO | Datacentre