Устаревшие сертификаты SSL могут отразиться на работе умных устройств
Фото: www.bleepingcomputer.com
Из-за глобального истечения срока действия технического сертификата SSL 30 мая перестали работать некоторые потоковые каналы на платформе Roku. В итоге пострадали пользователи умных устройств.
Компания посоветовала этим клиентам обновить устройства вручную.
В тот же день платежные платформы Stripe и Spreedly переживали сбои. Их причиной назвали истечение срока действия корневых сертификатов Центра сертификации.
As of 10:48 UTC, webhook delivery is failing for some users. We«re investigating and will post updates here.
— Stripe Status (@stripestatus) May 30, 2020
Чтобы шифрование SSL/TLS работало, сервер предоставляет клиенту сертификат SSL. Если срок действия сертификата сервера приближается к истечению, системный администратор может легко обновить его. Однако для того, чтобы клиент «доверял» любому представленному сертификату как действительному, веб-браузеры, приложения и устройства оснащены набором предустановленных корневых сертификатов, выпущенных центром сертификации.
Эти корневые сертификаты имеют значительно более длительный срок действия, чем серверные — до 20 или 25 лет, но, тем не менее, и их срок действия подходит к концу.
Исследователь безопасности Скотт Хельм сообщил в своем блоге: «Эта проблема была продемонстрирована недавно, 30 мая, в 10:48:38 по Гринвичу, если быть точным. Тогда истекло время действия корневого сертификата AddTrust, и это принесло первые неприятности, которые я уже ожидал в течение некоторого времени».
Автор отмечает, что приближается момент истечения срока действия множества корневых сертификатов CA. Это будет происходить в течение следующих нескольких лет, и будет застигать некоторые организации врасплох.
По мнению Хельме, следующая «потенциально значимая дата» наступит 30 сентября 2021 года. Именно тогда истекает срок действия сертификатов CA, выданных DST Root CA X3. Это означает, что, если клиентские приложения и устройства не будут своевременно обновлены, они не смогут распознать сертификаты Let’s Encrypt, вызывающие проблемы с подключением. Хельме, который предупреждал «об этой надвигающейся проблеме, вероятно, 2 года», предоставил в своем блоге некоторые дополнительные сведения о недавних сертификатах Let’s Encrypt, которые могут быть несовместимы с большинством моделей Smart TV из-за «очень небольшого количества корневых хранилищ», существующих на устройствах.
Хотя регулярное применение обновлений к интеллектуальным устройствам является очевидным решением, конечный пользователь вряд ли видит проблему. Предполагается, что производитель устройств продолжает предоставлять эти обновления, но с исправленными корневыми сертификатами.
В реальности, если срок действия корневого сертификата CA истек для нечасто обновляемого гаджета, когда он находится в автономном режиме, то при включении может возникнуть проблема с повторным подключением к Интернету. Например, умная лампочка может иметь возможность подключения к Интернету, но для этого потребуется безопасное соединение с сервером, прежде чем она сможет получать обновления. Если же эта интеллектуальная лампочка ранее была «отключена» от Интернета в течение нескольких месяцев, и в этот момент истек период обновления ее корневого сертификата CA, то устройство больше не сможет повторно подключиться к Интернету, если не будет обновлено вручную при такой возможности.
Более того, такие устройства, как интеллектуальные лампы, часы или холодильники, не имеют усовершенствованного пользовательского интерфейса, который может дать пользователям достаточно информации о том, что происходит, особенно на техническом уровне. Иногда даже технически подкованному клиенту не удастся диагностировать реальную проблему.
Кроме того, существует очень большой выбор CA, которые могут выдавать корневые сертификаты. Например, BBC недавно обновила свой сертификат SSL, но намеренно выбрала сертификат корневого ЦС, выпущенный в 2012 году, а не в 2020 году. Его срок истечет ранее, но это более старый и широко используемый сертификат. Многие устройства и умные телевизоры, выпущенные в течение нескольких лет после 2012 года, вероятно, относятся к тому же центру сертификации, и, скорее всего, будет совместимы с BBC. Между тем немало устройств все еще не распознает сертификаты, выпущенные в 2012 году.
По словам Хельме, чтобы интеллектуальные устройства и IoT продолжали бесперебойно функционировать, а также для обеспечения бесперебойного взаимодействия с пользователями, представители отрасли должны согласовать стандартный набор практик и соблюдать их.
См. также: