В четверг ряд веб-сайтов и служб сообщили о проблемах, связанных с истечением срока действия корневого сертификата, предоставленного Let's Encrypt, одним из крупнейших поставщиков сертификатов HTTPS.
Около 10 часов утра по восточному времени срок действия IdentTrust DST Root CA X3 истек, по словам Скотта Хелма, основателя Security Headers. Он отслеживал проблему и объяснил, что миллионы веб-сайтов полагаются на сервисы Let's Encrypt. Без них некоторые старые устройства больше не смогут проверять определенные сертификаты.
Let's Encrypt действует как бесплатная некоммерческая организация, которая обеспечивает безопасность и шифрование соединений между вашим устройством и Интернетом.
Несмотря на предварительное предупреждение о том, что срок действия истечет 30 сентября, когда истечет крайний срок, десятки пользователей сообщили о проблемах с различными службами и веб-сайтами.
Хельме сообщил ZDNet что он подтвердил проблемы с Palo Alto, Bluecoat, Cisco Umbrella, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, шлюзом приложений Azure, OVH, Auth0 , Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, Netlify и Cloudflare Pages, но отметил, что их может быть больше.
"Есть несколько способов решить эту проблему в зависимости от конкретной проблемы, но все сводится к следующему: службе / веб-сайту необходимо обновить цепочку сертификатов, которую они обслуживают клиентам или, говоря клиентом, веб-сайт / услуга нуждается в обновлении ", — пояснил Хельме.
«Для пострадавших компаний не все так, но у них определенно есть проблемы с обслуживанием и инциденты, над решением которых работает персонал. Во многих отношениях я говорил об этом уже более год с тех пор, как это произошло в последний раз, но эту проблему сложно определить. Это похоже на поиск чего-то, что может вызвать пожар: это действительно очевидно, когда вы видите дым! "
Некоторые сайты разместили на своих веб-сайтах уведомления о потенциальных проблемах, и многие из них уже решили проблемы. Shopify разместил на своей странице инцидента заметку о том, что примерно к 15:30 у продавцов и партнеров компании, которые изо всех сил пытались войти в систему, были восстановлены их услуги. В компании также восстановили аутентификацию продавца для взаимодействия со службой поддержки.
Fortinet сообщила ZDNet что они знали и исследовали проблему, связанную с истекшим сроком действия корневого сертификата CA, предоставленного Lets Encrypt.
«Мы напрямую общаемся с клиентами и предоставили временный обходной путь. Кроме того, мы работаем над долгосрочным решением этой пограничной проблемы непосредственно в нашем продукте», — говорится в заявлении компании.
Эксперт по цифровым сертификатам Тим Каллан сказал, что непрерывная работа всех современных цифровых систем зависит от сертификатов, в том числе тех, которые защищают нашу кибернетическую и физическую среду.
«Если программное обеспечение зависит от корня с истекшим сроком действия для проверки цепочки доверия для сертификата, тогда доверие сертификата потерпит неудачу, и в большинстве случаев программное обеспечение перестанет работать правильно. Последствия этого столь же широки. и, как бы ни были наши индивидуальные системы, каскадные отказы или отказы «нисходящего потока» часто приводят к проблемам с системами, совершенно отличными от системы с исходной проблемой доверия к сертификатам », — сказал Каллан.
«ИТ-системы, которые обеспечивают соблюдение или мониторинг политик безопасности, могут перестать работать. Системы оповещения и отчетности могут дать сбой. Или, если процессы, от которых зависит наша работа, перестают работать, эти люди часто найдут« обходные пути ». которые фундаментально небезопасны ".
Каллан добавил, что сбои могут происходить, когда разработчики, встроенные в направления бизнес-операций или другие проекты skunkworks, «получают сертификаты» без ведома центральной ИТ-службы, а затем переходят к новым задачам или иным образом не могут контролировать их жизненный цикл. сертификаты.
Он отметил, что большинство систем смогут выдержать истечение срока действия корня из-за современных возможностей цепочки корней, которые позволяют другому корню устанавливать доверительные отношения.
«Однако устаревшие системы или системы с ранее не устраненными (или неизвестными) ошибками обработки сертификатов подвержены риску возникновения подобных сбоев. количество отказов значительно увеличивается ", — пояснил Каллан.
TechCrunch сообщил, что устройства, которые могут столкнуться с проблемами, включают старые macOS 2016 и Windows XP (с пакетом обновления 3), а также более старые версии Playstations и любые инструменты, основанные на OpenSSL 1.0.2 или более ранней версии.
Другие эксперты заявили, что PlayStations 4s или более ранние устройства, на которых не было обновлено микропрограммное обеспечение, не смогут получить доступ к Интернету. Также пострадают такие устройства, как Android 7.1.1 или более ранние версии.
По словам Каллана, который является директором по соблюдению нормативных требований в Sectigo, самое современное программное обеспечение позволяет использовать сложные цепочки доверия, которые позволяют выполнять переходы между корневыми каталогами, не требуя замены производственных сертификатов. Но те, которые старые или плохо спроектированные или содержат ошибки обработки цепочки доверия, могут неправильно обрабатывать этот переход, что приводит к различным потенциальным сбоям.
Как это уже сделали многие из затронутых компаний, Каллан предложил предприятиям провести инвентаризацию систем с использованием сертификатов и фактически используемых сертификатов, прежде чем убедиться, что программное обеспечение имеет последние корневые сертификаты в своем корневом хранилище.
«Выявляя потенциальные точки отказа, ИТ-отделы могут заранее исследовать эти системы, чтобы выявить проблемные области и внести исправления. Если вы можете настроить версию системы в изолированной среде, это легко чтобы проверить ожидаемое поведение после истечения срока действия корня, — сказал Каллан.
«Просто установите часы клиентской системы вперед на дату после даты истечения срока действия, чтобы обеспечить правильную работу цепочки сертификатов. В качестве альтернативы, вы можете вручную удалить или не доверять корню, срок действия которого истекает (в среде песочницы, конечно), чтобы убедиться, что системы используют только новые корни ».
Он добавил, что популярность архитектур, дружественных к DevOps, таких как контейнеризация, виртуализация и облако, значительно увеличила количество сертификатов, необходимых предприятию, при радикальном сокращении их среднего срока службы.
«Это означает намного больше событий истечения срока действия, требуется гораздо больше времени на администрирование и значительно увеличивает риск неудачного продления», — сказал он.
Старший аналитик Digital Shadows по киберугрозам Шон Никкель рассказал ZDNet что Let's Encrypt еще в мае предупредил всех об истечении срока действия корневого центра сертификации и предложил альтернативы и обходные пути, чтобы гарантировать, что устройства будут работать. не будут затронуты во время переключения.
Они также сохранили открытую ветку форума по этой проблеме с довольно быстрыми ответами, добавил Никкель.
«Не очень хорошая практика, которая уже использовалась в качестве обходного пути для решения проблемы, — это разрешение ненадежных или недействительных сертификатов. Пользователи должны быть осторожны с действиями, которые потенциально откроют дверь для злоумышленников, использующих скомпрометированные сертификаты», — Никкель сказал.
«Некоторые пользователи рекомендуют настройки, разрешающие просроченные сертификаты от доверенных издателей; однако они также могут иметь злонамеренное использование. В любом случае администраторы должны изучить лучшее решение для них, но также понимать риски любых обходных путей. В качестве альтернативы администраторы могут просмотреть альтернативные пути доверия, используя промежуточный сертификат, установленный Let's Encrypt, или следуя предлагаемым конфигурациям из их майского бюллетеня ".
