Let’s Encrypt: certificaatverval dat internet uitschakelt

Deze donderdag werd het World Wide Web afgesloten. Doordat het rootcertificaat van Let’s Encrypt, een van de grootste aanbieders van HTTPS-certificaten, is verlopen, hebben veel websites en webservices al problemen gehad.

Scott Helm, oprichter van Security Headers, heeft het probleem opgevolgd. Hij zegt dat IdentTrust DST Root CA X3 rond 16.00 uur PST is verlopen en dat miljoenen sites vertrouwen op Let’s Encrypt-services: zonder deze services zouden oudere apparaten bepaalde certificaten niet kunnen verifiëren.

Let’s Encrypt is een gratis service zonder winstoogmerk die ervoor zorgt dat de communicatie tussen een apparaat en internet veilig en versleuteld is.

Vereiste updates

Waarschuwing afgegeven: de vervaldatum van het certificaat is 30 september. Op dezelfde dag waren echter tientallen gebruikers verrast en meldden ze problemen met verschillende webservices en op veel sites.

Scott Helmy bevestigt aan ZDNet dat hij problemen heeft ontdekt met Palo Alto, Bluecoat en Cisco Umbrella, catchpointGuardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, netify en Cloudflare-pagina’s. Hij voegt eraan toe dat er nog andere kunnen zijn.

“Afhankelijk van de exacte aard van het probleem, zijn er verschillende manieren om het op te lossen. Maar kortom, de service/website moet de certificaatketen bijwerken die hij aan klanten levert, of de klant die met de website/service praat, moet bijgewerkt”, zegt de onderzoeker. “Voor de betrokken bedrijven voelt het niet alsof alles kapot is, maar ze hebben zeker serviceproblemen en voortdurende ongevallen waar werknemers aan werken. In veel opzichten praat ik er al meer dan een jaar over, maar het is moeilijk Het is net als zoeken naar de oorzaak van een brand: het is echt duidelijk als je rook ziet!”

Sommige sites en services waarschuwden voor mogelijke problemen, maar veel hebben ze ook daadwerkelijk opgelost. Shopify, bijvoorbeeld, Geplaatst om ongeveer 21.30 uur Opmerking Dit geeft aan dat de services van verkopers en partnerbedrijven die problemen hadden om contact op te nemen, naast het authenticeren van verkopers, zodat ze kunnen communiceren met ondersteuning, zijn hersteld.

Vertrouwen op certificeringen

Fortinet is op de hoogte van het probleem met het verlopen rootcertificaat van Let’s Encrypt. Het bedrijf vertelt ZDNet dat het het heeft beoordeeld. “We communiceren rechtstreeks met klanten en hebben een tussenoplossing geboden. Bovendien werken we aan een langetermijnoplossing om dit grensprobleem rechtstreeks in onze producten aan te pakken”, aldus het bedrijf in een verklaring.

Tim Callan, expert op het gebied van digitale certificaten, legt uit dat alle moderne digitale systemen voor hun continue werking afhankelijk zijn van certificaten, vooral die systemen die onze elektronische en fysieke omgevingen beveiligen.

“Als een programma vertrouwt op een verlopen root om de certificaatvertrouwensketen te valideren, zal de certificaatvertrouwensketen mislukken en in de meeste gevallen zal het programma niet meer goed werken. De gevolgen van deze mislukking zijn zo groot en gevarieerd als onze individuele systemen, en vaak leiden cascadefouten tot of “uiteindelijke” fouten tot systeemproblemen die heel anders zijn dan de problemen die het aanvankelijke vertrouwensprobleem opleveren.

Computersystemen die beveiligingsbeleid afdwingen of controleren, werken mogelijk niet meer. Waarschuwings- en rapportagesystemen kunnen falen. Of, als de processen waarop mensen vertrouwen om hun werk te doen, niet meer werken, vinden deze mensen vaak inherent onveilige ‘oplossingen’. “

Oude apparaten getroffen

Tim Callan voegt eraan toe dat er storingen kunnen optreden wanneer ontwikkelaars in line-of-business-activiteiten of andere “skunkworks”-type “skunkworks”-projecten certificeringen behalen zonder medeweten van het IT-centrum, en vervolgens doorgaan met nieuwe taken. of de levenscyclus van deze certificaten niet bewaken.

Hij wijst erop dat de meeste systemen het verlopen van één root kunnen tolereren dankzij moderne root-sequencing-mogelijkheden waarmee een andere root vertrouwen kan opbouwen. “Echter, legacy-systemen, of systemen met fouten die omgaan met niet-gepatchte (of onbekende) certificaten, lopen het risico van dergelijke fouten. In het geval van een veelgebruikte root door een populaire certificeringsinstantie, neemt het risico op dergelijke fouten exponentieel toe.”, waarschuwt hij.

Neem Crunch Verslag doen van Oude pc’s met macOS 2016 en Windows XP (met Service Pack 3), evenals oudere versies van PlayStation en elke tool die afhankelijk is van OpenSSL 1.0.2 of eerder, behoren tot de apparaten die waarschijnlijk problemen zullen ondervinden. Volgens andere experts hebben PlayStation 4 of oudere apparaten waarvan de firmware niet is bijgewerkt, geen toegang tot internet. Apparaten met Android 7.1.1 of eerder worden ook beïnvloed.

Certificaatinventaris

Volgens Tim Callan maakt de meeste moderne software geavanceerde vertrouwensketens mogelijk die root-overgangen mogelijk maken zonder productiecertificaten te hoeven vervangen. Maar degenen die oud zijn, slecht zijn ontworpen of een reeks fouten in het vertrouwensbeheer bevatten, kunnen deze overgang mogelijk niet goed afhandelen, wat resulteert in een verscheidenheid aan potentiële fouten.

Zoals veel getroffen bedrijven sindsdien hebben gedaan, stelt de onderzoeker voor dat bedrijven een inventarisatie maken van systemen met de certificaten en certificaten die al in gebruik zijn voordat ze ervoor zorgen dat de software de nieuwste rootcertificaten in de rootstore heeft.

“Door potentiële faalpunten te identificeren, kunnen IT-afdelingen deze systemen vooraf onderzoeken, probleemgebieden identificeren en fixes implementeren. Als je een versie van het systeem in een sandbox-omgeving kunt opzetten, is het gemakkelijk om te testen op verwacht gedrag na root vervaldatum optreedt, “adviseert hij. . “Je hoeft alleen de klok van het clientsysteem in te stellen op een datum na de vervaldatum om ervoor te zorgen dat de certificaatketen correct werkt. Anders kun je handmatig de-installeren of oppassen voor de root die moet verlopen (in een sandbox-omgeving natuurlijk ) om ervoor te zorgen dat de systemen alleen de meest recente wortels gebruiken.”

De onderzoeker voegt eraan toe dat de populariteit van DevOps-vriendelijke architecturen zoals container, virtualisatie en de cloud het aantal certificaten dat een bedrijf nodig heeft drastisch heeft doen toenemen, terwijl de gemiddelde levensduur aanzienlijk is verkort. “Dit betekent veel expiratiegebeurtenissen, meer benodigde administratietijd en een aanzienlijke toename van het risico op mislukte regeneratie”, waarschuwt hij.

Ongeldige certificaten toestaan? slecht idee

Sean Nickkel, chief cyberthreat analist bij Digital Shadows, vertelde ZDNet dat Let’s Encrypt in mei waarschuwde dat de Root Certificate Authority (CA) op 30 september zou verlopen. Het bedrijf heeft zelfs tijdelijke oplossingen en oplossingen geboden om ervoor te zorgen dat apparaten niet worden beïnvloed tijdens het overschakelen.

Hij voegt eraan toe dat het bedrijf ook een discussieonderwerp op het forum over dit onderwerp heeft geopend en dat ze vrij snel reageren.

“Het is een slechte gewoonte die al is voorgesteld als een oplossing voor het probleem om niet-vertrouwde of ongeldige certificaten toe te staan. Gebruikers moeten voorzichtig zijn voordat ze een beslissing nemen die mogelijk de deur opent voor aanvallers die gecompromitteerde certificaten gebruiken”, waarschuwt de analist.

Sommige gebruikers hebben aanbevolen instellingen om verlopen certificaten van vertrouwde uitgevers toe te staan, maar ze kunnen ook kwaadaardig worden gebruikt. Hoe dan ook, beheerders moeten nadenken over hun beste oplossing, maar ook de risico’s van elk alternatief begrijpen. Daarnaast kunnen beheerders alternatieve vertrouwenspaden overwegen door gebruik te maken van het tussenliggende certificaat in Let’s Encrypt, of door de configuraties te volgen die worden voorgesteld in de nieuwsbrief van mei. “

Bron : ZDNet.com