5月30日,部分Roku流媒体频道停止工作,导致受影响的客户不知道发生了什么问题。
公司建议这些客户手动更新设备:
“由于全球技术证书过期,在Roku平台上选择依赖此证书链的流媒体频道可能无法按预期工作。请立即从Roku安装手动软件更新。“
同一天,支付平台突然出现中断,并将其归咎于证书颁发机构(CA)根证书过期。
我们一直都知道SSL证书有一个过期日期,但我们并没有计划今年会发生这种情况!
为了使SSL/TLS加密正常工作,服务器向客户端提供SSL证书:一个应用程序,如web浏览器或设备。如果服务器证书即将过期,系统管理员可以轻松地续订它。但是,为了让客户机“信任”任何提供的证书为有效证书,web浏览器、应用程序和设备都配备了一组由可信CA颁发的预安装根证书。
现在,这些根证书的有效期确实比服务器证书要长得多——多达20年或25年,但它们迟早会像凡人一样过期。
安全研究员Scott Helme在他的博客上发表文章说:“这个问题最近得到了很好的证明,准确地说是在5月30日格林尼治标准时间10:48:38。当时,AddTrust外部CA根目录已经过期,并带来了我期待已久的第一个问题迹象。”
“我们现在到了一个时间点,有很多CA根证书将在未来几年内到期,这仅仅是因为加密web真正启动已经20多年了,这是根CA证书的生命周期。这将在很大程度上让一些组织措手不及。
赫尔姆预计下一个“潜在重要日期”是2021年9月30日。此时DST根CA X3颁发的CA证书将过期。
DST根CA X3证书过期 资料来源:血压计
这意味着除非客户端应用程序和设备及时更新,否则它们将无法识别我们加密证书导致连接问题。
赫尔姆在他的博客中提供了一些关于最近的Let's Encrypt证书的额外见解,由于设备上存在“很少的根存储”,因此可能与大多数智能电视型号不兼容。
带警告的解决方案
虽然定期对智能设备应用更新是一个显而易见的解决方案,但对于最终用户来说,这可能并不那么明显。在定期更新期间,智能设备可以下载新的根CA证书以添加到其根存储。
这是假设设备制造商继续提供这些更新,这也是,与修订根证书!
实际上,一个智能设备可以经历几周或几个月的长时间不活动。如果不经常更新的小工具在脱机时其根CA证书过期,则在打开时可能无法重新连接到internet。
例如,智能灯泡可能具有连接到internet的能力,但在开始提取更新之前,它可能需要安全连接到其服务器。如果此智能灯泡以前已从internet“断开”几个月,而现在更新其根CA证书的宽限期已过,则它可能无法再重新连接到internet,除非手动更新(如果可能的话)。
此外,智能灯泡、手表或冰箱等设备缺乏先进的用户界面,无法为用户提供足够的指示,尤其是在技术层面。乍一看,即使是最精通技术的用户也可能无法成功诊断实际问题。
考虑到可以颁发根证书的ca有很多选择,这些证书中有多少被传播到终端设备之间似乎有很大的延迟。
例如,BBC最近更新了SSL证书,但有意选择2012年颁发的根CA证书,而不是2020年。当然,这意味着2012根证书将比2020年颁发的证书更早于2032年到期(假设到期日为20年),但较旧的证书也意味着有更高的机会获得认可。
资料来源:scottelme.co.uk公司/
2012年之后生产的许多设备和智能电视可能会安装2012年发布的根CA,因此更可能与BBC兼容。然而,令我们惊讶的是,“8岁的根CA还没有成功进入‘智能’电视的相当一部分,”赫尔姆说,这个小插曲敦促BBC探索这个问题的其他解决方案。
正如Helme所强调的,讽刺的是,即使是最“现代”的设备和小工具也不够现代,因为它们无法解释最新的根证书!
为了使智能设备和物联网继续不间断地运行,并确保用户体验顺畅,行业利益相关者、合作伙伴和竞争对手需要就一套标准做法达成一致并遵守这些做法。到2020年,一些设备仍然无法识别2012年发布的根证书,这几乎没有理由。