Dussintals webbplatser och tjänster rapporterade problem i slutet av förra månaden tack vare utgången av ett rotcertifikat från Let's Encrypt, en av de största leverantörerna av HTTPS-certifikat.
Let's Encrypt och andra forskare hade länge varnat att IdentTrust DST Root CA X3 skulle löpa ut den 30 september, och många plattformar lyssnade på samtalen och uppdaterade sina system. Men ett fåtal gjorde det inte, vilket orsakade en smärre trubbel när användarna ifrågasatte varför några av deras favoritsajter inte fungerade så bra som de borde.
Scott Helme, grundaren av Security Headers, berättade för ZDNet att han bekräftade problem med Palo Alto, Bluecoat, Cisco Umbrella, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero , QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, Netlify och Cloudflare-sidor, men noterade att det kan ha varit fler som inte rapporterats.
Miljontals webbplatser förlitar sig på tjänsterna som tillhandahålls av Let's Encrypt, som fungerar som en gratis ideell organisation som ser till att anslutningarna mellan din enhet och internet är säkra och krypterade.
Utan dem kommer vissa äldre enheter att inte längre kunna verifiera vissa certifikat.
Josh Aas, verkställande direktör för Internet Security Research Group på Let's Encrypt, sa till ZDNet att han var frustrerad över hur vissa butiker täckte avbrotten i september, med vissa antydde att det var ett misstag eller en olycka.
“Vi glömde inte att det skulle gå ut eller något. Vi har planerat för det här i flera år. Vi visste att det här skulle hända, och vi har bokstavligen planerat för det här i flera år. För att vi har har planerat det här i flera år, mycket mindre saker gick sönder,” sa Aas.
“Internet är en enorm plats. Hur många miljoner eller miljarder enheter och servrar och sådana saker finns där ute? Varje gång du ändrar något kommer saker att gå sönder. Jag vill inte minimera alla störningar som var frustrerande för människor, men allt som allt kunde det ha varit värre.”
Aas förklarade att det finns tre nivåer av certifikat på internet. Det finns certifikat som webbplatser har kallat slutenhetscertifikat. Sedan finns det två certifikat utfärdade av certifikatmyndigheter som Let's Encrypt: rotcertifikat och mellanliggande certifikat.
Rotcertifikat är de viktigaste sakerna som webbläsare litar på, och mellanliggande certifikat är vad organisationer som Let's Encrypt använder för att utfärda till webbplatserna.
Som sagt, slutenhetscertifikat är giltiga i cirka 90 dagar: de mellanliggande certifikaten är giltiga i cirka fem år och rotcertifikat varar i cirka 20 år.
När en är inställd på att löpa ut introducerar organisationer som Let's Encrypt en ny och ber webbplatser att anta den innan den gamla går ut.
“Det finns egentligen ingenting du kan göra för att undvika att certifikatet löper ut. Certifikaten löper ut; det är en avsedd sak. Det är precis vad som händer och det händer av ett antal olika anledningar. Vi kan inte förhindra det. Det är utformat för att förfalla på det sättet. Varje certifikatutfärdare fungerar på det sättet”, sa Aas.
Let's Encrypt arbetade med hundratals webbplatser för att få dem att byta. Ändå har internet växt avsevärt, vilket gör det svårt att få varje webbplats, telefon, webbläsare, bärbar dator och enhet att byta om.
Aas tillade att det alltid skulle finnas ett antal enheter och webbläsare som inte kunde byta när det gamla certifikatet gick ut.
“Vi försöker hålla den siffran så låg som möjligt genom att nå ut och ge människor verktyg för att vara redo. Men det når inte alla. Internet är för stort för det”, förklarade Aas.
“Vi gjorde vårt bästa för att försöka ge råd och berätta för folk vad de kan göra för att flytta till det nya certifikatet. Och det verkar som att många gjorde det. Många saker fixades relativt snabbt .”
Aas noterade att certifikat är utformade för att löpa ut för att skydda uppsättningen av kryptografiska nycklar bakom dem.
“Det finns två nycklar som i huvudsak bara är riktigt långa siffror som är relaterade till varandra, och det är så kryptografin bakom certifikat fungerar. Och en av dessa nycklar, som kallas en privat nyckel, måste skyddas hela tiden. inte berätta för andra. Så webbplatser har den privata nyckeln för sina egna identitetscertifikat, men certifikatmyndigheter som Let's Encrypt innehar de privata nycklarna för rot- och mellancertifikat,” förklarade Aas.
“Vi måste se till att ingen annan någonsin får reda på vad de här nycklarna är. De är väldigt hårt skyddade och bevakade av oss. Men det är möjligt att någon kunde ha fått en kopia av nyckeln, och det vet vi inte. Som en allmänt skydd i branschen, vi roterar nycklar varje viss tid beroende på riskprofilen och liknande. Så certifikatets utgång är i grunden en mekanism för att rotera kryptografiska nycklar på internet under en viss tid för att säkerställa att dessa nycklar aldrig är äventyras. Ju längre en nyckel används, desto mer sannolikt är det att det finns ett problem.”
Ett av Let's Encrypts rotcertifikat utfärdades 2015, och ett andra utfärdades 2020. Nästa utgångsdatum för dessa rotcertifikat kommer att vara om 15 år respektive 20 år.
Roten som gick ut förra månaden — IdentTrust DST Root CA X3 — utfärdades 2000. Aas noterade att certifikatutfärdarindustrin startade i slutet av 90-talet och början av 2000-talet, vilket innebär att många av certifikaten utfärdades tillbaka sedan börjar löpa ut.
“De är typ klustrade under den tidsperioden när alla dessa CA började, så jag tror att vi kommer att se fler och fler av dessa. Varje gång en av dessa saker går ut och orsakar problem på internet, är vi som en gemenskap av människor som använder dessa enheter och certifieringsmyndigheter blir lite bättre på att hantera problemet”, sa Aas.
Medan användare och webbplatser tog itu med problem förra månaden, sa Aas att det bästa var att det var praxis för nästa gång ett certifikat löper ut.
Han uppmanade alla med fler frågor om ämnet att gå till Let's Encrypts Community Support Forum.
Andra experter upprepade vad Aas sa och förklarade att rotförfall är en sällsynt men normal händelse och en nödvändighet i certifikatutfärdarens ekosystem.
Ed Giaquinto, CIO för Sectigo och expert på digitala certifikat, nämnda avbrott orsakade av rotutgångar är helt enkelt resultat av dålig certifikatlivscykelhantering.
“Om ett företag inte har en korrekt inventering av sina certifikat, inklusive deras kedjor till pålitliga rötter, så är avbrott på grund av utgångsdatum oundvikliga. Detta är ytterligare ett exempel på hur god certifikathygien förhindrar avbrott”, sa Giaquinto.
“Ett korrekt livscykelhanteringsverktyg inventerar och visar all relevant certifikatinformation, inklusive deras utgångsdatum. Sedan, med hjälp av automatisering, ersätter det dessa certifikat före utgången, vilket gör att IT-teamen kan ligga före i spelet. Vi existerar inte längre i en värld där vi hanterar helt enkelt ett fåtal certifikat för webbgränssnitt. PKI-integrationer har placerat certifikat överallt (efemera datortjänster, behållare, program-till-program, B2B och B2C kommunikation, etc.), och korrekt hantering av certifikatets livscykel är avgörande för att förhindrar affärsavbrott.”
Keyfactors säkerhetschef Chris Hickman upprepade Giaquintos kommentarer och sa till ZDNet att det största problemet i de flesta fall är bristen på automatisering för att distribuera det nya rot-CA-certifikatet till de enheter som behöver lita på det.
I många organisationer hanteras inte rot-CA-certifikatlagren universellt, förklarade Hickman och tillade att detta kan leda till situationer som att bara uppdatera delar av nätverket men inte enheten för alla enheter som behöver lita på den nya roten.
Hickman föreslog att organisationer samlade alla sina nycklar och certifikat i en enda inventering genom att integrera direkt med nätverksslutpunkter, nyckellager och CA-databaser för omfattande synlighet.
Han noterade att de första tecknen på problem uppstod när AddTrust CA löpte ut i maj 2020, vilket orsakade omfattande avbrott för streaming- och betalningstjänster som Roku, Stripe och Spreedly.
Nu designas produkter för att hantera Roots of Trust utanför band till mjukvaruuppdateringar – men den processen sträcker sig inte till äldre produkter, tillade han.
“Om du inte uppdaterar dina äldre rötter kan du inte pusha uppdateringar, vilket resulterar i potentiellt enhetsfel. Med flera rot-CA:er inställda på att löpa ut 2021 är det viktigt att se till att uppdateringar kan skickas effektivt och effektivt till inbäddade och icke -traditionella operativsystem, som inser att många äldre enheter kanske inte kan ta emot dessa uppdateringar,” sa Hickman.
“En annan rynka i allt detta är UNIX-baserade system, eftersom dessa enheter inte kan acceptera certifikat med utgångsdatum efter år 2038. Denna situation är beredd att bli ett mycket stort problem utan en tydlig lösning som inte har fått mycket uppmärksamhet hittills.”
Säkerhet
Hackare fick på något sätt sitt rootkit en Microsoft-utfärdad digital signatur. Detta monster av en nätfiskekampanj är ute efter dina lösenord SolarWinds hackare Nobelium ska slå globala IT-försörjningskedjor igen, Microsoft varnar Hackare döljer sin skadliga JavaScript-kod med ett svårtillgängligt trick Microsoft Teams: Dina videosamtal har precis fått en stor säkerhetshöjning Cybersäkerhet 101: Skydda din integritet från hackare, spioner, regeringen Digital transformation | Säkerhets-TV | Datahantering | CXO | Datacenter