Τα SSL πιστοποιητικά που λήγουν σε παλιές συσκευές και εφαρμογές, αναμένεται να προκαλέσουν προβλήματα σε έξυπνες τηλεοράσεις, ψυγεία και IoT.
Στις 30 Μαΐου, το Rocu Channel σταμάτησε να λειτουργεί, αφήνοντας τους πελάτες που έχουν επηρεαστεί να προσπαθούν να καταλάβουν που έγκειται το πρόβλημα και τι πρέπει να κάνουν. Η εταιρεία συμβούλεψε τους πελάτες της να ενημερώσουν χειροκίνητα τις συσκευές τους, αναφέροντας συγκεκριμένα:
“Λόγω της λήξης του πιστοποιητικού, το select streaming channels στην πλατφόρμα Roku που βασίζονται σε αυτήν την αλυσίδα πιστοποιητικών ενδέχεται να μην λειτουργεί όπως αναμενόταν. Εγκαταστήστε τώρα χειροκίνητα μία ενημέρωση λογισμικού από τη Roku.”
Και δεν ήταν η μόνη πλατφόρμα που επηρεάστηκε. Οι πλατφόρμες πληρωμών Stripe και Spreedly αντιμετώπισαν διακοπές την ίδια ημέρα, εξαιτίας της λήξης των αντίστοιχων πιστοποιητικών.
Όλα τα SSL πιστοποιητικά συνοδεύονται από ημερομηνία λήξης.
Για να λειτουργήσει η κρυπτογράφηση SSL / TLS, ο διακομιστής παρουσιάζει ένα πιστοποιητικό SSL στον πελάτη. Εάν το πιστοποιητικό του διακομιστή πλησιάζει τη λήξη του, ο sysadmin μπορεί εύκολα να το ανανεώσει. Ωστόσο, για να εμπιστευτεί ο πελάτης οποιοδήποτε πιστοποιητικό του παρουσιάζεται ως έγκυρο, τα προγράμματα περιήγησης ιστού, αλλά και οι εφαρμογές και οι έξυπνες συσκευές του είναι εξοπλισμένες με ένα σύνολο προεγκατεστημένων πιστοποιητικών ρίζας που εκδίδονται από μια αξιόπιστη αρχή έκδοσης πιστοποιητικών.
Τώρα, αυτά τα πιστοποιητικά ρίζας έχουν σημαντικά μεγαλύτερες ημερομηνίες λήξης από τα πιστοποιητικά των ιστοσελίδων. Μπορούν να φτάσουν έως και 20 ή 25 χρόνια, αλλά αργά ή γρήγορα κάποια στιγμή θα λήξουν.
Σε μια ανάρτηση στο ιστολόγιό του, ο ερευνητής ασφαλείας Scott Helme ανέφερε: “Αυτό το πρόβλημα αποδείχθηκε πρόσφατα, στις 30 Μαΐου 2020. Εκείνη την ακριβή ώρα, όταν το AddTrust External CA Root έληξε, έφερε μαζί του τα πρώτα σημάδια του προβλήματος. Ερχόμαστε σε ένα σημείο τώρα όπου υπάρχουν πολλά πιστοποιητικά που θα λήξουν τα επόμενα χρόνια, απλώς και μόνο επειδή έχουν περάσει 20+ χρόνια από τότε που ξεκίνησε ο κρυπτογραφημένος ιστός και αυτή είναι η διάρκεια ζωής ενός πιστοποιητικού. Αυτό θα επηρεάσει ορισμένους οργανισμούς.”
Ο Helme αναμένει ότι η επόμενη “δυνητικά σημαντική ημερομηνία” θα είναι η 30η Σεπτεμβρίου 2021. Τότε θα λήξουν τα πιστοποιητικά CA που εκδίδονται από το DST Root CA X3. Αυτό σημαίνει ότι αν οι εφαρμογές και οι συσκευές πελατών δεν ενημερωθούν εγκαίρως, δεν θα αναγνωρίσουν τα Let’s Encrypt πιστοποιητικά και θα έχουν προβλήματα σύνδεσης.
Ο Helme, είχε προειδοποιήσει για αυτό το επικείμενο πρόβλημα εδώ και 2 χρόνια. Επιπλέον θεωρεί ότι υπάρχει ενδεχόμενο τα πρόσφατα πιστοποιητικά να μην είναι συμβατά με τα παλιά μοντέλα έξυπνης τηλεόρασης, λόγω των πολύ λίγου χώρου αποθήκευσης ρίζας που υπάρχουν στις συσκευές αυτές.
Λύση με προειδοποιήσεις
Ενώ προφανής λύση είναι η τακτική ενημέρωση των updates στις έξυπνες συσκευές σας, μπορεί να μην είναι τόσο εμφανής στον τελικό χρήστη. Κατά τη διάρκεια των τακτικών ενημερώσεων, οι έξυπνες συσκευές κατεβάζουν και τα νέα πιστοποιητικά για να τα προσθέσουν στα ριζικά συστήματά τους.
Αυτό προϋποθέτει ότι ο κατασκευαστής της συσκευής συνεχίζει να παρέχει αυτές τις ενημερώσεις, και φυσικά με αναθεωρημένα πιστοποιητικά ρίζας!
Ρεαλιστικά, ένα έξυπνο gadget μπορεί να περάσει από περιόδους παρατεταμένης αδράνειας που διαρκούν μερικές εβδομάδες ή μήνες. Εάν το gadget που ενημερώνεται σπάνια λήξει το πιστοποιητικό του ενώ ήταν εκτός σύνδεσης, ενδέχεται να αντιμετωπίσει πρόβλημα με την επανασύνδεσή του στο διαδίκτυο όταν θα ενεργοποιηθεί.
Για παράδειγμα, ένας έξυπνος λαμπτήρας μπορεί να έχει τη δυνατότητα να συνδεθεί στο διαδίκτυο, αλλά ενδεχομένως να απαιτεί μία ασφαλή σύνδεση με τον διακομιστή του για να μπορέσει να ξεκινήσει να λαμβάνει ενημερώσεις. Εάν αυτός ο έξυπνος λαμπτήρας είχε προηγουμένως “αποσυνδεθεί” από το διαδίκτυο για μερικούς μήνες και τώρα έχει παρέλθει η περίοδος χάριτος για την ενημέρωση του SSL πιστοποιητικού, ενδέχεται να μην είναι πλέον σε θέση να επανασυνδεθεί στο διαδίκτυο, εκτός εάν ενημερωθεί χειροκίνητα και εάν αυτό είναι ακόμη δυνατό.
Επιπλέον, συσκευές όπως έξυπνοι λαμπτήρες, ρολόγια ή ψυγεία δεν διαθέτουν προηγμένο περιβάλλον εργασίας χρήστη που μπορεί να δώσει στους χρήστες αρκετές ενδείξεις για το τι συμβαίνει, ειδικά σε τεχνικό επίπεδο. Με την πρώτη ματιά, ακόμη και ο πιο τεχνικά έμπειρος χρήστης μπορεί να μην καταφέρει να διαγνώσει το πραγματικό ζήτημα.
Η ειρωνεία όλων αυτών, όπως τόνισε ο Helme, είναι, ακόμη και οι πιο «σύγχρονες» συσκευές και gadget δεν είναι αρκετά έξυπνες, γιατί δεν καταφέρνουν να λάβουν υπόψη τα πιο πρόσφατα πιστοποιητικά ρίζας!
Προκειμένου οι έξυπνες συσκευές και οι IoT να συνεχίσουν να λειτουργούν χωρίς διακοπή και να διασφαλίσουν μια ομαλή λειτουργία, όλοι οι ενδιαφερόμενοι και οι κατασκευαστές του κλάδου θα πρέπει να συμφωνήσουν σε ένα τυπικό σύνολο πρακτικών και να τηρήσουν.