Connect with us

Deutsch

Fortinet, Shopify und andere melden Probleme, nachdem das Root-CA-Zertifikat von Lets Encrypt abgelaufen ist

Published

on

Eine Reihe von Websites und Diensten meldeten am Donnerstag Probleme aufgrund des Ablaufens eines Root-Zertifikats von Let’s Encrypt, einem der größten Anbieter von HTTPS-Zertifikaten.

Laut Scott Helme, dem Gründer von Security Headers, ist die IdentTrust DST Root CA X3 gegen 10 Uhr ET abgelaufen. Er hat das Problem verfolgt und erklärt, dass Millionen von Websites auf Let’s Encrypt-Dienste angewiesen sind und ohne sie einige ältere Geräte nicht mehr in der Lage sein werden, bestimmte Zertifikate zu überprüfen.

Let’s Encrypt arbeitet als kostenlose Non-Profit-Organisation, die dafür sorgt, dass die Verbindungen zwischen Ihrem Gerät und dem Internet sicher und verschlüsselt sind.

Trotz der Vorwarnung, dass das Ablaufdatum am 30. September liegen würde, als die Frist endete, meldeten Dutzende von Benutzern Probleme mit einer Vielzahl von Diensten und Websites.

Helme sagte gegenüber ZDNet, dass er Probleme mit Palo Alto, Bluecoat, Cisco Umbrella, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket bestätigt hat League, InstaPage, Ledger, Netlify und Cloudflare Pages, aber es sei darauf hingewiesen, dass es noch mehr geben könnte.

“Es gibt mehrere Möglichkeiten, dies zu lösen, je nachdem, was das genaue Problem ist, aber es läuft darauf hinaus: Der Dienst/die Website muss die Zertifikatskette aktualisieren, die sie den Clients bereitstellen, oder der Client, der mit der Website/dem Dienst kommuniziert, benötigt eine aktualisieren”, erklärte Helme.

„Für die betroffenen Unternehmen ist nicht alles ausgefallen, aber sie haben sicherlich Serviceprobleme und haben offene Vorfälle, bei denen die Mitarbeiter daran arbeiten, sie zu lösen. In vielerlei Hinsicht spreche ich seit über einem Jahr darüber, seit es das letzte Mal passiert ist, aber Es ist ein schwieriges Problem, es zu identifizieren. Es ist, als würde man nach etwas suchen, das ein Feuer verursachen könnte: Es ist wirklich offensichtlich, wenn man den Rauch sehen kann!”

Einige Websites haben auf ihrer Website Hinweise zu möglichen Problemen veröffentlicht, und viele haben die Probleme gelöst. Shopify hat auf seiner Vorfallseite einen Hinweis veröffentlicht, dass gegen 15:30 Uhr Händler- und Unternehmenspartner, die Schwierigkeiten hatten, sich anzumelden, ihre Dienste wiederhergestellt hatten. Die Händlerauthentifizierung für Support-Interaktionen wurde ebenfalls wiederhergestellt, teilte das Unternehmen mit.

Fortinet teilte ZDNet mit, dass sie das Problem im Zusammenhang mit dem abgelaufenen Root-CA-Zertifikat von Lets Encrypt kennen und untersucht haben.

„Wir kommunizieren direkt mit den Kunden und haben eine vorübergehende Problemumgehung bereitgestellt. Darüber hinaus arbeiten wir an einer längerfristigen Lösung, um dieses Edge-Case-Problem direkt in unserem Produkt anzugehen“, heißt es in einer Erklärung des Unternehmens.

Tim Callan, Experte für digitale Zertifikate, sagte, dass alle modernen digitalen Systeme für ihren weiteren Betrieb von Zertifikaten abhängig sind, einschließlich derjenigen, die unsere Cyber- und physischen Umgebungen sichern.

„Wenn Software von einem abgelaufenen Root abhängig ist, um die Vertrauenskette für ein Zertifikat zu validieren, dann wird das Vertrauen des Zertifikats scheitern und in den meisten Fällen wird die Software nicht mehr richtig funktionieren. Die Folgen sind so vielfältig und vielfältig wie unsere einzelnen Systeme, und oft führen kaskadierende Ausfälle oder “Downstream”-Ausfälle zu Problemen mit ganz anderen Systemen als dem mit dem ursprünglichen Zertifikatsvertrauensproblem”, sagte Callan.

“IT-Systeme, die Sicherheitsrichtlinien durchsetzen oder überwachen, können nicht mehr funktionieren. Warn- und Meldesysteme können versagen. Oder wenn die Prozesse, auf die Menschen für unsere Arbeit angewiesen sind, nicht mehr funktionieren, finden diese Menschen oft “Problemumgehungen”, die grundlegend unsicher sind.”

Callan fügte hinzu, dass es zu Ausfällen kommen kann, wenn Entwickler, die in Geschäftsabläufe oder andere Skunkworks-Projekte eingebettet sind, ohne Wissen der zentralen IT “Zertifikate erhalten” und dann zu neuen Aufgaben übergehen oder den Lebenszyklus dieser Zertifikate anderweitig nicht überwachen.

Er stellte fest, dass die meisten Systeme aufgrund moderner Root-Chaining-Funktionen, die es einer anderen Root ermöglichen, Vertrauen aufzubauen, in der Lage sein werden, einen Root-Ablauf zu überstehen.

„Allerdings besteht bei Legacy-Systemen oder Systemen mit zuvor nicht adressierten (oder unbekannten) Fehlern bei der Handhabung von Zertifikaten das Risiko, dass solche Fehler auftreten. Im Falle eines häufig verwendeten Roots von einer beliebten CA steigt das Risiko dieser Fehler erheblich.“ Callan erklärte.

TechCrunch berichtete, dass Geräte, bei denen Probleme auftreten können, älteres macOS 2016 und Windows XP (mit Service Pack 3) sowie ältere Versionen von Playstations und alle Tools umfassen, die auf OpenSSL 1.0.2 oder früher basieren.

Andere Experten sagten, dass PlayStations 4s oder frühere Geräte, deren Firmware nicht aktualisiert wurde, nicht auf das Internet zugreifen können. Betroffen sind auch Geräte wie Android 7.1.1 oder früher.

Laut Callan erlaubt die modernste Software die Verwendung ausgeklügelter Vertrauensketten, die Root-Übergänge ermöglichen, ohne dass Produktionszertifikate ersetzt werden müssen. Aber diejenigen, die alt oder schlecht gestaltet sind oder Fehler bei der Behandlung von Vertrauensketten enthalten, können diesen Übergang möglicherweise nicht richtig handhaben, was zu verschiedenen möglichen Fehlern führt.

Wie viele der betroffenen Unternehmen inzwischen auch, schlug Callan vor, dass Unternehmen eine Bestandsaufnahme der Systeme unter Verwendung von Zertifikaten und der tatsächlich verwendeten Zertifikate machen, bevor sie sicherstellen, dass die Software die neuesten Root-Zertifikate in ihrem Root-Speicher hat.

„Durch die Identifizierung potenzieller Fehlerpunkte können IT-Abteilungen diese Systeme im Voraus untersuchen, um Problembereiche zu identifizieren und Korrekturen zu implementieren. Wenn Sie eine Version des Systems in einer Sandbox-Umgebung einrichten können, ist es einfach, das erwartete Verhalten zu testen, sobald die Root-Ablauf auftritt”, sagte Callan.

“Stellen Sie einfach die Systemuhr des Clients auf ein Datum nach dem Ablaufdatum um, um sicherzustellen, dass die Zertifikatsverkettung korrekt funktioniert. Alternativ können Sie das Root, das auf Ablauf gesetzt ist, manuell deinstallieren oder ihr misstrauen (natürlich in der Sandbox-Umgebung), um sich selbst zu vergewissern dass Systeme nur die neueren Wurzeln verwenden.”

Er fügte hinzu, dass die Popularität von DevOps-freundlichen Architekturen wie Containerisierung, Virtualisierung und Cloud die Anzahl der von Unternehmen benötigten Zertifikate stark erhöht und gleichzeitig deren durchschnittliche Lebensdauer radikal verkürzt hat.

“Das bedeutet viel mehr Ablaufereignisse, viel mehr Verwaltungszeit und ein stark erhöhtes Risiko einer fehlgeschlagenen Verlängerung”, sagte er.

Sean Nikkel, Senior Cyber ​​Threat Analyst von Digital Shadows, sagte gegenüber ZDNet, dass Let’s Encrypt bereits im Mai alle über das heutige Auslaufen der Root-CA informiert und Alternativen und Problemumgehungen angeboten hat, um sicherzustellen, dass Geräte während der Umstellung nicht beeinträchtigt werden.

Sie haben auch einen laufenden Forenthread zu diesem Thema mit ziemlich schnellen Antworten geöffnet, fügte Nikkel hinzu.

“Eine nicht besonders gute Praxis, die bereits als Workaround für das Problem eingeführt wurde, besteht darin, nicht vertrauenswürdige oder ungültige Zertifikate zuzulassen. Benutzer sollten vorsichtig sein, wenn sie einen Schritt unternehmen, der Angreifern mit kompromittierten Zertifikaten möglicherweise Tür und Tor öffnet”, sagte Nikkel.

„Einige Benutzer haben empfohlene Einstellungen, die abgelaufene Zertifikate von vertrauenswürdigen Ausstellern zulassen; diese können jedoch auch böswillige Zwecke haben. Administratoren sollten auf jeden Fall die beste Lösung für sie prüfen, aber auch die Risiken für mögliche Problemumgehungen verstehen alternative Vertrauenspfade verwenden, indem Sie das Zwischenzertifikat verwenden, das Let’s Encrypt eingerichtet hat, oder den vorgeschlagenen Konfigurationen aus dem Mai-Bulletin folgen.”

Continue Reading

Copyright © 2021 Meta Mag Inc.