Tientallen websites en services meldden eind vorige maand problemen dankzij het verlopen van een rootcertificaat van Let's Encrypt, een van de grootste aanbieders van HTTPS-certificaten.
Let's Encrypt en andere onderzoekers hadden al lang gewaarschuwd dat de IdentTrust DST Root CA X3 zou op 30 september verlopen en veel platforms hebben gehoor gegeven aan de oproepen en hun systemen bijgewerkt. Maar een paar deden dat niet, wat een kleine ophef veroorzaakte toen gebruikers zich afvroegen waarom sommige van hun favoriete sites niet zo goed werkten als zou moeten.
Scott Helme, de oprichter van Security Headers, vertelde ZDNet dat hij problemen bevestigde met Palo Alto, Bluecoat, Cisco Umbrella, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero , QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, Netlify en Cloudflare-pagina's, maar merkte op dat er mogelijk meer waren dat niet werd gemeld.
Miljoenen websites vertrouwen op de diensten van Let's Encrypt, dat opereert als een gratis non-profitorganisatie die ervoor zorgt dat de verbindingen tussen uw apparaat en internet veilig en versleuteld zijn.
Zonder deze diensten zullen sommige oudere apparaten dat wel doen. bepaalde certificaten niet meer kunnen verifiëren.
Josh Aas, uitvoerend directeur van de Internet Security Research Group bij Let's Encrypt, vertelde ZDNet dat hij gefrustreerd was over de manier waarop sommige verkooppunten de storingen in september hebben gedekt, waarbij sommigen suggereerden dat het een vergissing of een ongeluk was.
“We zijn niet vergeten dat het zou verlopen of zo. We waren hier al jaren van aan het plannen. We wisten dat dit ging gebeuren, en we zijn dit letterlijk al jaren van plan. Omdat we was dit al jaren van plan, er gingen veel minder dingen kapot”, zei Aas.
“Het internet is een enorme plaats. Hoeveel miljoenen of miljarden apparaten en servers en dat soort dingen zijn er? Elke keer dat je iets verandert, gaan dingen kapot. Ik wil niet minimaliseren elke verstoring die frustrerend was voor mensen, maar al met al had het erger kunnen zijn.”
Aas legde uit dat er drie niveaus van certificaten op internet zijn. Er zijn certificaten die websites eindentiteitscertificaten hebben genoemd. Dan zijn er nog twee certificaten uitgegeven door certificeringsinstanties zoals Let's Encrypt: rootcertificaten en intermediate certificaten.
Rootcertificaten zijn de belangrijkste dingen die browsers vertrouwen, en tussenliggende certificaten zijn wat organisaties zoals Let's Encrypt gebruiken om aan de websites uit te geven.
Zoals gezegd, eindentiteitscertificaten zijn ongeveer 90 dagen geldig: de tussencertificaten zijn ongeveer vijf jaar geldig en rootcertificaten ongeveer 20 jaar.
Als er een afloopt, introduceren organisaties als Let's Encrypt een nieuwe en vragen ze websites om deze over te nemen voordat de oude verloopt.
“Er is echt niets dat je kunt doen om het verlopen van certificaten te voorkomen. Certificaten verlopen; dat is de bedoeling. Dat is precies wat er gebeurt en dat gebeurt om een aantal verschillende redenen. We kunnen het niet voorkomen. Het is ontworpen om op die manier te verlopen. Elke certificeringsinstantie werkt op die manier”, zegt Aas.
Let's Encrypt werkte met honderden websites om ze over te zetten. Toch is het internet aanzienlijk gegroeid, waardoor het moeilijk is om elke website, telefoon, browser, laptop en apparaat om te zetten.
Aas voegde toe dat er altijd een aantal apparaten en browsers zullen zijn die de overstap niet kunnen maken wanneer het oude certificaat is verlopen.
“We proberen dat aantal zo laag mogelijk te houden door middel van outreach en mensen tools te geven om klaar te zijn. Maar het bereikt niet iedereen. Het internet is daar te groot voor”, legt Aas uit.
“We hebben ons best gedaan om advies te geven en mensen te vertellen wat ze kunnen doen om over te stappen op het nieuwe certificaat. En het lijkt erop dat veel mensen dat hebben gedaan. Veel dingen waren relatief snel opgelost .”
Aas merkte op dat certificaten zijn ontworpen om te verlopen om de reeks cryptografische sleutels erachter te beschermen.
“Er zijn twee sleutels die in wezen gewoon heel lange getallen zijn die aan elkaar gerelateerd zijn, en dat is hoe de cryptografie achter certificaten werkt. En een van die sleutels, een privésleutel genaamd, moet te allen tijde worden beschermd. Dat doe je niet' Vertel het andere mensen niet. Dus websites hebben de privésleutel voor hun eigen identiteitscertificaten, maar certificaatautoriteiten zoals Let's Encrypt hebben de privésleutels voor root- en tussencertificaten”, legt Aas uit.
“We moeten ervoor zorgen dat niemand anders er ooit achter komt wat die sleutels zijn. Ze worden zeer zwaar beschermd en bewaakt door ons. Maar het is mogelijk dat iemand een kopie van de sleutel heeft gekregen, en we weten het niet. algemene beveiliging in de branche, we roteren sleutels elke bepaalde tijd, afhankelijk van het risicoprofiel en dergelijke. Het verlopen van certificaten is dus in wezen een mechanisme voor het roteren van cryptografische sleutels op internet gedurende een bepaalde tijd om ervoor te zorgen dat deze sleutels nooit gecompromitteerd. Hoe langer een sleutel in gebruik is, hoe groter de kans dat er een probleem is.”
Een van de rootcertificaten van Let's Encrypt is uitgegeven in 2015 en een tweede is uitgegeven in 2020. De eerstvolgende vervaldatum van deze rootcertificaten is over respectievelijk 15 jaar en 20 jaar.
De root die vorige maand is verlopen — IdentTrust DST Root CA X3 — werd uitgegeven in 2000. Aas merkte op dat de sector van de certificeringsinstanties eind jaren 90 en begin 2000 begon, wat betekent dat veel van de certificaten die zijn uitgegeven beginnen dan te verlopen.
“Ze zijn een beetje geclusterd in die periode waarin al deze CA's zijn begonnen, dus ik denk dat we er steeds meer van zullen zien. Elke keer dat een van deze dingen verloopt en problemen veroorzaakt op internet, hebben wij als gemeenschap van de mensen die deze apparaten bedienen en certificeringsinstanties worden een beetje beter in het beheren van het probleem,” zei Aas.
Terwijl gebruikers en websites vorige maand met problemen te maken kregen, zei Aas dat de zilveren voering is dat het praktijk was voor de volgende keer dat een certificaat verloopt.
Hij drong er bij iedereen met meer vragen over het onderwerp op aan om naar het Community Support Forum van Let's Encrypt te gaan.
Andere experts herhaalden wat Aas zei en legden uit dat root-verloop een zeldzaam maar normaal verschijnsel is en een noodzaak in het ecosysteem van de certificeringsinstantie.
Ed Giaquinto, CIO van Sectigo en een expert in digitale certificaten, zijn de uitval veroorzaakt door root-verloop simpelweg het gevolg van slecht beheer van de levenscyclus van certificaten.
“Als een onderneming geen nauwkeurige inventaris heeft van zijn certificaten, inclusief hun ketens naar vertrouwde roots, dan zijn uitval als gevolg van expiraties onvermijdelijk. Dit is een ander voorbeeld van hoe goede certificaathygiëne uitval voorkomt,” zei Giaquinto.
“Een goede tool voor levenscyclusbeheer inventariseert en toont alle relevante certificaatinformatie, inclusief hun vervaldatums. Vervolgens vervangt het, met behulp van automatisering, die certificaten voordat ze verlopen, waardoor IT-teams een voorsprong hebben. We bestaan niet langer in een wereld waarin we beheren gewoon een paar certificaten voor webfront-ends. PKI-integraties hebben overal certificaten geplaatst (kortstondige rekenservices, containers, programma-naar-programma, B2B- en B2C-communicatie, enz.), en een goed beheer van de certificaatlevenscyclus is cruciaal voor bedrijfsstoringen voorkomen.”
Keyfactor chief security officer Chris Hickman herhaalde de opmerkingen van Giaquinto en vertelde ZDNet dat in de meeste gevallen het grootste probleem een gebrek aan automatisering is om het nieuwe root-CA-certificaat te distribueren naar die apparaten die geloof het.
In veel organisaties worden de root-CA-certificaatarchieven niet universeel beheerd, legde Hickman uit, eraan toevoegend dat dit kan leiden tot situaties zoals alleen het bijwerken van delen van het netwerk, maar niet de entiteit van alle apparaten die de nieuwe root moeten vertrouwen.
Hickman stelde voor dat organisaties al hun sleutels en certificaten in één inventaris samenbrengen door rechtstreeks te integreren met netwerkeindpunten, sleutelarchieven en CA-databases voor uitgebreide zichtbaarheid.
Hij merkte op dat de eerste tekenen van problemen opdoken toen de AddTrust CA in mei 2020 afliep, wat leidde tot wijdverbreide storingen voor streaming- en betalingsdiensten zoals Roku, Stripe en Spreedly.
Nu worden er producten ontworpen om Roots of Trust buiten de band om software-updates te beheren, maar dat proces geldt niet voor legacy-producten, voegde hij eraan toe.
“Als u uw legacy-roots niet bijwerkt, kunt u geen updates pushen, wat kan leiden tot apparaatstoringen. Met meerdere root-CA's die in 2021 verlopen, is het essentieel om ervoor te zorgen dat updates efficiënt en effectief kunnen worden verzonden naar embedded en niet -traditionele besturingssystemen, in het besef dat veel oudere apparaten deze updates mogelijk niet kunnen ontvangen”, aldus Hickman.
“Een andere rimpel in dit alles zijn op UNIX gebaseerde systemen, aangezien deze apparaten geen certificaten kunnen accepteren met een vervaldatum na het jaar 2038. Deze situatie dreigt een heel groot probleem te worden zonder een duidelijke oplossing die niet tot op heden veel aandacht gekregen.”
Beveiliging
Hackers hebben op de een of andere manier aan hun rootkit een door Microsoft uitgegeven digitale handtekening gekregen. waarschuwt Hackers vermommen hun kwaadaardige JavaScript-code met een moeilijk te verslaan truc Microsoft Teams: uw videogesprekken hebben zojuist een grote beveiligingsboost gekregen Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid Digitale transformatie | Beveiliging TV | Gegevensbeheer | CXO | Datacenters