Στις 30 Μαΐου, κανάλια της streaming υπηρεσίας Roku σταμάτησαν να λειτουργούν, με τους πελάτες της πλατφόρμας να μην έχουν ιδέα τί ακριβώς συνέβη. Η εταιρεία συμβούλεψε τους πελάτες να ενημερώσουν τις συσκευές τους με μη αυτόματο τρόπο, αναφέροντας σε σχετική ανακοίνωσή της πως λόγω του ότι έληξαν SSL certificates, ορισμένα κανάλια της streaming υπηρεσίας Roku που βασίζονται σε πιστοποιητικά SSL, ενδέχεται να μην λειτουργούν όπως αναμενόταν. Επιπλέον, η Roku συμβούλευσε τους πελάτες να εγκαταστήσουν μια μη αυτόματη ενημέρωση λογισμικού της εταιρείας. Την ίδια μέρα, οι πλατφόρμες ψηφιακών πληρωμών Stripe και Spreedly παρουσίασαν διακοπές, αποδίδοντας αυτό το γεγονός στη λήξη των Certificate Authority (CA) root certificates.
Όπως είναι γνωστό, τα SSL certificates έχουν ημερομηνία λήξης. Για να λειτουργήσει η κρυπτογράφηση SSL / TLS, ο server παρουσιάζει SSL certificates στους πελάτες, τα οποία μπορεί να είναι εφαρμογές, web browsers ή συσκευές. Εάν ένα server certificate πλησιάζει στη λήξη του, το sysadmin μπορεί εύκολα να το ανανεώσει. Ωστόσο, για να εμπιστευτεί ο πελάτης οποιοδήποτε πιστοποιητικό που παρουσιάζεται ως έγκυρο, οι web browsers, οι εφαρμογές και οι συσκευές έχουν εξοπλιστεί με ένα σύνολο προεγκατεστημένων root certificates που εκδίδονται από μια αξιόπιστη αρχή έκδοσης πιστοποιητικών (CA). Τώρα, αυτά τα root certificates λήγουν αργότερα από τα server certificate, μετά από εώς και 20-25 χρόνια.
Σε μια ανάρτηση στο blog του, ο ερευνητής ασφαλείας Scott Helme ανέφερε πως αυτό το πρόβλημα εκδηλώθηκε στις 30 Μαΐου στις 10:48:38 GMT. Εκείνη την ώρα έληξε το AddTrust External CA Root, εμφανίζοντας τα πρώτα σημάδια του προβλήματος που ο ίδιος υποψιαζόταν ότι υπήρχαν εδώ και αρκετό καιρό.
Πρόσθεσε ακόμη πως υπάρχουν πολλά CA Root Certificates που λήγουν μέσα στα επόμενα χρόνια απλώς και μόνο επειδή έχουν περάσει 20 και πλέον χρόνια από τότε που ξεκίνησε το κρυπτογραφημένο web εφόσον αυτή είναι η διάρκεια ζωής ενός CA Root Certificates. Τόνισε, επίσης, πως αυτό θα επηρεάσει αρκετούς πελάτες της streaming υπηρεσίας Roku. O Helme αναμένει ότι η επόμενη “δυνητικά σημαντική ημερομηνία” θα είναι η 30η Σεπτεμβρίου 2021, καθώς τότε θα λήξουν τα CA Certificates που εκδίδονται από το DST Root CA X3. Αυτό σημαίνει ότι αν οι εφαρμογές και οι συσκευές πελατών δεν ενημερωθούν εγκαίρως, δεν θα αναγνωρίσουν τα πιστοποιητικά Let’s Encrypt που προκαλούν προβλήματα σύνδεσης. Ο Helme, ο οποίος προειδοποιούσε για αυτό το επικείμενο πρόβλημα εδώ και 2 χρόνια, έδωσε μερικές πρόσθετες πληροφορίες στο blog του σχετικά με τα πρόσφατα πιστοποιητικά Let’s Encrypt που ενδέχεται να μην είναι συμβατά με τα περισσότερα Smart TV μοντέλα, λόγω των πολύ λίγων root stores που υπάρχουν στις συσκευές.
Ενώ η τακτική εφαρμογή ενημερώσεων στις έξυπνες συσκευές σας είναι μια προφανής λύση, μπορεί να μην είναι τόσο εμφανής στον τελικό χρήστη. Κατά τη διάρκεια τακτικών ενημερώσεων, οι έξυπνες συσκευές μπορούν να κατεβάσουν νέα root CA certificates για προσθήκη στα root stores τους. Αυτό προϋποθέτει ότι ο κατασκευαστής της συσκευής συνεχίζει να παρέχει αυτές τις ενημερώσεις, και στα αναθεωρημένα root certificates.
Ένα έξυπνο gadget μπορεί να περάσει από περιόδους παρατεταμένης αδράνειας που διαρκούν μερικές εβδομάδες ή μήνες. Εάν έχει λήξει το root CA certificates σε ένα σπανιώς ενημερωμένο gadget, ενώ βρισκόταν εκτός σύνδεσης, ενδέχεται να αντιμετωπίσει πρόβλημα με την επανασύνδεσή του στο διαδίκτυο όταν ενεργοποιηθεί.
Για παράδειγμα, ένας έξυπνος λαμπτήρας μπορεί να έχει τη δυνατότητα να συνδεθεί στο διαδίκτυο, αλλά μπορεί να χρειαστεί ασφαλή σύνδεση με τον server του για να μπορέσει να ξεκινήσει να λαμβάνει ενημερώσεις. Εάν αυτός ο έξυπνος λαμπτήρας είχε προηγουμένως “αποσυνδεθεί” από το διαδίκτυο για μερικούς μήνες και τώρα έχει παρέλθει η περίοδος χάριτος για την ενημέρωση του root CA certificates, ενδέχεται να μην είναι πλέον σε θέση να επανασυνδεθεί, εκτός εάν ενημερωθεί χειροκίνητα, εάν αυτό είναι ακόμη δυνατό.
Επιπλέον, συσκευές όπως έξυπνοι λαμπτήρες, ρολόγια ή ψυγεία δεν διαθέτουν προηγμένο περιβάλλον εργασίας χρήστη που μπορεί να δώσει στους χρήστες αρκετές ενδείξεις για το τί ακριβώς συμβαίνει, ειδικά σε τεχνικό επίπεδο. Με μια πρώτη ματιά, ακόμη και ο πιο τεχνικά καταρτισμένος χρήστης ενδέχεται να μην καταφέρει να εντοπίσει το πραγματικό πρόβλημα. Δεδομένων των πάρα πολλών επιλογών CAs που μπορούν να εκδώσουν root certificates, διαφέρει η συχνότητα αλλά και ο αριθμός των πιστοποιητικών που διαδίδονται στις τελικές συσκευές.
Ο Helme σημείωσε πως ακόμη και οι πιο σύγχρονες συσκευές και τα πιο προηγμένα gadget δεν είναι αρκετά μοντέρνα, γιατί δεν καταφέρνουν να λάβουν υπόψη τα πιο πρόσφατα root certificates. Προκειμένου οι έξυπνες συσκευές και οι IoT να συνεχίσουν να λειτουργούν χωρίς διακοπή και να διασφαλίσουν μια ομαλή εμπειρία χρήστη, οι ενδιαφερόμενοι, οι συνεργάτες και οι ανταγωνιστές του κλάδου πρέπει να συμφωνήσουν σε ένα τυπικό σύνολο πρακτικών και να το τηρήσουν. Δεν δικαιολογείται το 2020 συσκευές να εξακολουθούν να μην αναγνωρίζουν root certificates που εκδόθηκαν το 2012.
