An diesem Donnerstag wurde das World Wide Web abgeschnitten. Da das Root-Zertifikat von Let’s Encrypt, einem der größten Anbieter von HTTPS-Zertifikaten, abgelaufen ist, gab es bereits bei vielen Websites und Webdiensten Probleme.
Scott Helm, Gründer von Security Headers, ist dem Problem nachgegangen. Er sagt, dass IdentTrust DST Root CA X3 gegen 16:00 Uhr PST abgelaufen ist und Millionen von Websites auf Let’s Encrypt-Dienste angewiesen sind: Ohne sie wären ältere Geräte nicht in der Lage, bestimmte Zertifikate zu überprüfen.
Let’s Encrypt ist ein kostenloser, gemeinnütziger Dienst, der sicherstellt, dass die Kommunikation zwischen einem Gerät und dem Internet sicher und verschlüsselt ist.
Erforderliche Updates
Warnung ausgegeben: Das Ablaufdatum des Zertifikats ist der 30. September. Am selben Tag waren jedoch Dutzende von Benutzern überrascht und meldeten Probleme mit verschiedenen Webdiensten und auf vielen Websites.
Scott Helmy bestätigt gegenüber ZDNet, dass er Probleme mit Palo Alto, Bluecoat und Cisco Umbrella entdeckt hat. FangpunktGuardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, vernetzen und Cloudflare-Seiten. Er fügt hinzu, dass es andere geben könnte.
„Abhängig von der genauen Art des Problems gibt es mehrere Möglichkeiten, es zu lösen. Aber kurz gesagt, der Dienst/die Website muss die Zertifikatskette aktualisieren, die er den Clients bereitstellt, oder der Client, der mit der Website/dem Dienst kommuniziert, muss dies tun aktualisiert“, sagt der Forscher. „Für die beteiligten Unternehmen sieht es nicht so aus, als wäre alles kaputt, aber sie haben definitiv Serviceprobleme und laufende Unfälle, an denen Mitarbeiter arbeiten. In vielerlei Hinsicht spreche ich seit über einem Jahr darüber, aber es ist schwer.“ Die Suche nach der Brandursache ist wie: Es ist wirklich klar, wenn man Rauch sieht!“
Einige Websites und Dienste haben vor möglichen Problemen gewarnt, aber viele haben sie tatsächlich behoben. Shopify zum Beispiel, Gepostet um ca. 21:30 Uhr Hinweis Beachten Sie, dass die Dienste von Händlern und Partnerunternehmen, die Schwierigkeiten beim Anmelden hatten, sowie die Authentifizierung von Händlern, damit sie mit dem Support interagieren können, wiederhergestellt wurden.
Vertrauen auf Zertifizierungen
Fortinet ist sich des Problems mit dem abgelaufenen Root-Zertifikat von Let’s Encrypt bewusst. Das Unternehmen teilt ZDNet mit, es überprüft zu haben. „Wir kommunizieren direkt mit den Kunden und haben eine Zwischenlösung bereitgestellt. Darüber hinaus arbeiten wir an einer langfristigen Lösung, um dieses Grenzproblem direkt in unseren Produkten anzugehen“, heißt es in einer Mitteilung des Unternehmens.
Tim Callan, Experte für digitale Zertifikate, erklärt, dass alle modernen digitalen Systeme für ihren kontinuierlichen Betrieb auf Zertifikate angewiesen sind, insbesondere solche, die unsere elektronischen und physischen Umgebungen sichern.
„Wenn sich ein Programm auf einen abgelaufenen Root verlässt, um die Zertifikatsvertrauenskette zu validieren, schlägt die Zertifikatsvertrauensstellung fehl und in den meisten Fällen wird das Programm nicht mehr richtig funktionieren. Die Folgen dieses Fehlers sind so groß und vielfältig wie unsere einzelnen Systeme, und oft führen kaskadierende Ausfälle zu oder „letzten“ Ausfällen zu Systemproblemen, die sich ganz von denen unterscheiden, die das anfängliche Vertrauensproblem darstellen.
Computersysteme, die Sicherheitsrichtlinien durchsetzen oder überwachen, funktionieren möglicherweise nicht mehr. Warn- und Meldesysteme können versagen. Oder wenn die Prozesse, auf die sich Menschen verlassen, um ihre Arbeit zu erledigen, nicht mehr funktionieren, finden diese Menschen oft von Natur aus unsichere „Problemumgehungen“. „
Altgeräte betroffen
Tim Callan fügt hinzu, dass es zu Unterbrechungen kommen kann, wenn Entwickler im Geschäftsbetrieb oder anderen „skunkworks“-Projekten ohne zentrale IT-Kenntnisse „Zertifizierungen erhalten“ und dann zu neuen Aufgaben übergehen. , oder überwachen Sie den Lebenszyklus dieser Zertifikate nicht.
Er weist darauf hin, dass die meisten Systeme dank moderner Root-Sequencing-Funktionen, die es einer anderen Root ermöglichen, Vertrauen aufzubauen, in der Lage sein werden, den Ablauf einer Wurzel zu tolerieren. „Allerdings sind Legacy-Systeme oder solche mit Fehlern im Umgang mit ungepatchten (oder unbekannten) Zertifikaten von solchen Fehlern bedroht. Im Falle eines häufig verwendeten Roots durch eine gängige Zertifizierungsstelle steigt das Risiko solcher Fehler exponentiell. ‚, er warnt.
Nimm Crunch Prüfbericht Alte PCs mit macOS 2016 und Windows XP (mit Service Pack 3) sowie ältere Versionen von PlayStation und allen Tools, die auf OpenSSL 1.0.2 oder früher basieren, gehören zu den Geräten, bei denen wahrscheinlich Probleme auftreten. Laut anderen Experten können PlayStation 4 oder ältere Geräte, deren Firmware nicht aktualisiert wurde, nicht auf das Internet zugreifen. Betroffen sind auch Geräte mit Android 7.1.1 oder früher.
Zertifikatsinventar
Laut Tim Callan ermöglicht die meiste moderne Software ausgeklügelte Vertrauensketten, die Root-Übergänge ermöglichen, ohne Produktionszertifikate ersetzen zu müssen. Aber solche, die alt sind, schlecht konzipiert sind oder eine Reihe von Vertrauensverwaltungsfehlern enthalten, können diesen Übergang möglicherweise nicht richtig handhaben, was zu einer Vielzahl potenzieller Fehler führt.
Wie viele betroffene Unternehmen seither auch, schlägt der Forscher vor, dass Unternehmen eine Bestandsaufnahme von Systemen mit bereits verwendeten Zertifikaten und Zertifikaten machen, bevor sie sicherstellen, dass die Software die neuesten Root-Zertifikate in ihrem Root-Speicher hat.
„Durch die Identifizierung potenzieller Fehlerquellen können IT-Abteilungen diese Systeme im Voraus untersuchen, um Problembereiche zu identifizieren und Korrekturen zu implementieren. Wenn Sie eine Version des Systems in einer Sandbox-Umgebung einrichten können, ist es einfach, das erwartete Verhalten nach dem Rooten zu testen.“ Ablauf eintritt“, rät er. „Sie müssen nur die Systemuhr des Clients auf ein Datum nach dem Ablaufdatum einstellen, um sicherzustellen, dass die Zertifikatskette ordnungsgemäß funktioniert. Andernfalls können Sie manuell deinstallieren oder sich vor dem Root, der ablaufen sollte, in Acht nehmen (natürlich in einer Sandbox-Umgebung). ), um sicherzustellen, dass die Systeme nur die neuesten Roots verwenden.“
Der Forscher fügt hinzu, dass die Popularität von DevOps-freundlichen Architekturen wie Container, Virtualisierung und Cloud die Anzahl der Zertifikate, die ein Unternehmen benötigt, drastisch erhöht und gleichzeitig deren durchschnittliche Lebensdauer erheblich verkürzt hat. „Das bedeutet viele Verfallsereignisse, mehr Zeit für die Verabreichung und einen enormen Anstieg des Risikos eines Regenerationsversagens“, warnt er.
Ungültige Zertifikate zulassen? schlechte Idee
Sean Nickkel, Chief Cyberthreat Analyst bei Digital Shadows, sagte gegenüber ZDNet, Let’s Encrypt habe bereits im Mai gewarnt, dass die Root Certificate Authority (CA) am 30. Das Unternehmen hat sogar Workarounds und Workarounds bereitgestellt, um sicherzustellen, dass Geräte während des Wechsels nicht beeinträchtigt werden.
Er fügt hinzu, dass das Unternehmen zu diesem Thema auch einen Diskussionsthread im Forum eröffnet hat, auf den ziemlich schnell reagiert wird.
„Es ist eine schlechte Praxis, die bereits als Lösung des Problems vorgeschlagen wurde, nicht vertrauenswürdige oder ungültige Zertifikate zuzulassen. Benutzer sollten vorsichtig sein, bevor sie eine Entscheidung treffen, die Angreifern mit kompromittierten Zertifikaten möglicherweise Tür und Tor öffnen könnte“, warnt der Analyst.
Einige Benutzer haben empfohlene Einstellungen, um abgelaufene Zertifikate von vertrauenswürdigen Ausstellern zuzulassen, aber sie können auch böswillige Zwecke haben. In jedem Fall müssen Administratoren über ihre beste Lösung nachdenken, aber auch die Risiken jeder Alternative verstehen. Darüber hinaus können Administratoren alternative Vertrauenspfade in Betracht ziehen, indem sie das von Let’s Encrypt implementierte Zwischenzertifikat verwenden oder die im Mai-Newsletter vorgeschlagenen Konfigurationen befolgen. „
Quelle : ZDNet.com
„Reisejunkie. Speckfan. Unternehmer. Lebensmittelpraktiker. Bierfanatiker. Begeisterter Internet-Vorreiter.“