Certificados SSL que expiram causam problemas nos dispositivos!

Em 30 de maio, os canais do serviço de streaming Roku pararam de funcionar, com os clientes da plataforma sem ter idéia do que exatamente aconteceu. A empresa aconselhou os clientes a atualizar seus dispositivos manualmente, afirmando em comunicado que, devido à expiração dos certificados SSL, alguns serviços de streaming baseados em Roku baseados em certificados SSL podem não funcionar conforme o esperado. Além do que, além do mais, Roku aconselhou os clientes a instalar uma atualização automática de software da empresa. No mesmo dia, as plataformas de pagamento digital Stripe e Spreedly fizeram uma pausa, atribuindo isso ao final dos certificados raiz da Autoridade de Certificação (CA).

Como você sabe, os certificados SSL têm uma data de validade. Para habilitar a criptografia SSL / TLS, o servidor apresenta certificados SSL aos clientes, que podem ser aplicativos, navegadores da web ou dispositivos. Se um certificado do servidor estiver chegando ao fim, o sysadmin poderá atualizá-lo facilmente. No entanto, para que o cliente confie em qualquer certificado apresentado como válido, os navegadores, aplicativos e dispositivos da Web estão equipados com um conjunto de certificados raiz pré-instalados emitidos por uma autoridade de certificação confiável. Agora, esses certificados raiz expiram depois dos certificados do servidor, depois de 20 a 25 anos.

Certificados SSL que expiram causam problemas nos dispositivos!

Em um post do blog, o pesquisador de segurança Scott Helme disse que o problema ocorreu em 30 de maio às 10:48:38 GMT. Naquele momento, a raiz da CA externa do AddTrust foi encerrada, mostrando os primeiros sinais de um problema que ele suspeitava existir há algum tempo.

Ele acrescentou que existem muitos certificados raiz da CA que expiram nos próximos anos, simplesmente porque se passaram mais de 20 anos desde o lançamento da web criptográfica, desde que essa seja a vida útil dos certificados raiz da CA. Ele também enfatizou que isso afetará vários clientes do serviço de streaming Roku. Helme espera que a próxima “data potencialmente importante” seja 30 de setembro de 2021, quando os Certificados de CA emitidos pelo DST Root CA X3 expirarão. Isso significa que, se os aplicativos e dispositivos clientes não forem atualizados a tempo, eles não reconhecerão os certificados Let’s Encrypt que causam problemas de conexão. Helme, que tem alertado sobre esse problema iminente nos últimos 2 anos, forneceu algumas informações adicionais ao seu blog sobre os recentes certificados Let’s Encrypt que podem não ser compatíveis com a maioria dos modelos de Smart TV, devido às poucas lojas raiz que estão nos dispositivos.

Embora as atualizações regulares para seus dispositivos inteligentes sejam uma solução óbvia, elas podem não ser tão óbvias para o usuário final. Durante as atualizações regulares, os dispositivos inteligentes podem baixar novos certificados de CA raiz para adicionar aos seus repositórios raiz. Isso pressupõe que o fabricante do dispositivo continue fornecendo essas atualizações, bem como os certificados raiz revisados.

Um gadget inteligente pode passar por períodos de inatividade prolongada que duram algumas semanas ou meses. Se os certificados de CA raiz expiraram em um gadget raramente atualizado enquanto estava offline, pode haver um problema ao se reconectar à Internet quando está ativado.

Por exemplo, uma lâmpada inteligente pode ter a capacidade de se conectar à Internet, mas pode precisar de uma conexão segura com o servidor para poder começar a receber atualizações. Se esse bulbo inteligente já tiver sido “desconectado” da Internet por alguns meses e agora o período de carência para atualizar os certificados de CA raiz já tiver passado, talvez não seja mais possível reconectar-se, a menos que seja atualizado manualmente. possível.

Certificados SSL que expiram causam problemas nos dispositivos!Certificados SSL que expiram causam problemas nos dispositivos!

Além disso, dispositivos como lâmpadas inteligentes, relógios ou geladeiras não possuem uma interface de usuário avançada que pode fornecer aos usuários várias pistas sobre exatamente o que está acontecendo, especialmente em nível técnico. À primeira vista, mesmo o usuário mais treinado tecnicamente pode não ser capaz de identificar o problema real. Dadas as muitas opções de CAs que podem emitir certificados raiz, a frequência e o número de certificados distribuídos nos dispositivos finais variam.

Helme observou que mesmo os dispositivos mais modernos e os gadgets mais avançados não são modernos o suficiente, porque não conseguem levar em consideração os certificados raiz mais recentes. Para que dispositivos inteligentes e IoTs continuem operando sem interrupção e para garantir uma experiência suave do usuário, as partes interessadas, os parceiros e os concorrentes do setor devem concordar com um conjunto padrão de práticas e aderir a ele. Não se justifica em 2020 que os dispositivos ainda não reconheçam os certificados raiz emitidos em 2012.