物联网的新危机!即将到期的SSL证书可能会影响……
5月30日,部分Roku流媒体频道停止工作,导致受影响的客户不知道发生了什么问题。
Roku建议这些客户手动更新设备:“由于全球技术证书到期,因此Roku平台上某些依赖此证书链的传输频道可能无法正常工作。请立即从Roku安装手动软件更新。”
当天,Stripe 和Spreedly 付款平台遇到了中断,并将其归咎于证书颁发机构(CA)根证书已过期。
我们一直都知道SSL证书有一个过期日期,但今年发生的事情出乎意料!
服务器向客户端(例如Web浏览器之类的应用程序或设备)提供SSL证书使得SSL / TLS加密起作用。如果服务器证书即将到期,系统管理员可以轻松地续订它。但是,为了使客户端“信任”任何显示的证书都是有效证书,Web浏览器、应用程序和设备配备了一组由可信CA颁发的预安装根证书。
目前那些根证书的有效期确实比服务器证书的有效期长得多——多达20年或25年,但它们迟早也会过期。
安全研究员Scott Helme在他的博客上发表文章说:“这个问题最近得到了很好的证明,准确地说是在5月30日格林尼治标准时间10:48:38。当时,AddTrust外部CA根目录已经过期,并带来了我期待已久的第一个问题迹象。”
“现在到了一个关键时间点,在接下来的几年中,将有许多CA 根证书过期,这仅仅是因为加密网络真正启动已经有20多年了,这就是Root 根证书的生命周期。将会在很大程度上令一些组织措手不及。”他补充说。
Helme预计下一个“潜在重要日期”是2021年9月30日。那时DST根CA X3颁发的CA证书将过期。
这意味着除非客户端应用程序和设备及时更新,否则它们将无法识别Let's Encrypt证书导致连接问题。
Helme一直在预警“预计两年之内将出现的问题”,他在博客上提供了一些新的见解和看法,因为最近的Let's Encrypt证书可能与大多数智能电视型号不兼容,因为该许可证上存在“很少的根存储”设备。
注意事项及解决方案
尽管定期对智能设备应用更新是一个显而易见的解决方案,但对于最终用户来说,这可能并不是最优解。在常规更新期间,智能设备可以下载新的根CA证书以添加到其根存储中。
不过前提是设备制造商持续提供这些更新,并且还会提供修订后的根证书!
实际上,一个智能设备可能会经历数周或数月的不活跃状态。如果这些不经常更新的设备在脱机时根CA证书已过期,那么重新打开时可能无法重新连接到互联网。
例如,智能灯泡可能具有联网能力,但是它可能需要与其服务器的安全连接才能开始提取更新。如果此智能灯泡以前已从互联网“断开连接”几个月,而现在更新其根CA证书的宽限期已过,则它可能无法再重新联网,除非可以手动更新。
此外,诸如智能灯泡,手表或冰箱之类的设备缺乏先进的用户界面,无法为用户提供足够的指示,尤其是在技术层面。乍一看,即使是最精通技术的用户也可能无法成功诊断实际问题。
鉴于可以选择颁发根证书的CA的选项非常多,似乎将这些证书传播到终端设备的频率和数量之间存在明显的延迟。
例如,英国广播公司(BBC)最近更新了SSL证书,因为较旧的证书也意味着被认可的可能性更高, BBC有意选择2012年颁发的根CA证书,而不是2020年。这意味着2012年颁发的根证书将比2032年颁发的证书(假设有20年的失效日期)更快过期。
资料来源:Scotthelme.co.uk/
2012年以后制造的许多设备和智能电视很可能安装了2012年发布的根CA,因此能更好的兼容BBC。Helme说:“令我们惊讶的是,成立8年的Root CA仍未能成功进入大部分“智能”电视。”这个小插曲敦促英国广播公司(BBC)不得不探索其他解决方案。
讽刺的是正如Helme所强调的那样,即使是最“现代”的设备和小工具也不够“现代”,因为它们不能安装最新的根证书!
为了使智能设备和物联网能够不间断地继续运行并确保流畅的用户体验,行业利益相关者,合作伙伴和竞争者需要就一套标准实践达成一致并遵守遵守这些做法。到2020年,没有什么理由说明为什么某些设备仍无法识别2012年发布的根证书。
SSL证书过期会如何?
SSL证书是数字证书的一种,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。类似于我们平时使用的驾驶证、护照和身份证,SSL证书也是有一定的有效期限。它们会过期,是为了确保网站身份信息是最新最准确的。
目前大部分主流浏览器支持SSL证书最长有效期为27个月,而在第49届CA/浏览器论坛(CA/Browser)苹果公司宣布:从2020年9月1日开始,该公司的Safari浏览器将不信任新签发的超过13个月有效期证书。这些也就意味着每一个安装了SSL证书的网站至少要每两年更新一次。(Safari则需要每一年更新一次证书。)
一旦网站证书过期后,Web网站就会出现安全警告,无法继续使用,严重影响用户访问。比如,用户在访问某些HTTPS网站的时候,浏览器会提示“您的连接不是私密连接”等拦截警告。如果用户看到网站出现这种情况,对于网站可信度以及品牌形象来说都是一种巨大打击。
如何有效避免证书过期?
虽然更新证书不是什么复杂的事情,但却是一项极其重要的任务。当涉及到证书管理时,各规模大小的企业都存在着诸多问题。
如果网站证书数量相对较少时,网站管理人员能够轻松的管理网站证书,但是随着组织的不断壮大及其 SSL 证书的不断增多,对于管理人员来说,手动跟踪部署到数百台服务器的数千个证书的过期日期是相当复杂且有难度的。
亚洲诚信提供一站式SSL证书服务,不仅有自动提醒功能、人工通过电话、邮件等方式及时告知并提醒客户提前续费或更换SSL证书。通过可伸缩的集中式解决方案来简化对于整个企业范围内 SSL 证书的全方位生命周期管理。有效避免客户因忘记续费而导致证书过期事件的发生。
对于拥有庞大网络的企业型用户,我们提供优质的证书智能管理平台 CertManager,依靠其自动化管理来协助证书的部署,更新和生命周期管理,以减少人员开销和随着证书更换频率的增加而出现错误的风险。
文章部分稿源:bleeping computer