Fortinet, Shopify et d’autres signalent des problèmes après l’expiration du certificat CA racine de Lets Encrypt

Un certain nombre de sites Web et de services ont signalé des problèmes jeudi en raison de l’expiration d’un certificat racine fourni par Let’s Encrypt, l’un des plus grands fournisseurs de certificats HTTPS.

Vers 10 h HE, IdentTrust DST Root CA X3 a expiré, selon Scott Helme, fondateur de Security Headers. Il a suivi le problème et a expliqué que des millions de sites Web dépendent des services Let’s Encrypt. Sans eux, certains appareils plus anciens ne pourront plus vérifier certains certificats.

Let’s Encrypt fonctionne comme un organisme à but non lucratif gratuit qui s’assure que les connexions entre votre appareil et Internet sont sécurisées et cryptées.

Malgré l’avertissement préalable que la date d’expiration serait le 30 septembre, date limite, des dizaines d’utilisateurs ont signalé des problèmes avec divers services et sites Web.

Helme a dit ZDNet qu’il a confirmé des problèmes avec Palo Alto, Bluecoat, Cisco Umbrella, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League, InstaPage , Ledger, Netlify et Cloudflare Pages, mais a noté qu’il pourrait y en avoir plus.

« Il existe plusieurs façons de résoudre ce problème en fonction du problème exact, mais cela se résume à : une mise à jour », a expliqué Helme.

“Pour les entreprises concernées, ce n’est pas comme si tout était en panne, mais elles ont certainement des problèmes de service et des incidents sont ouverts avec le personnel qui travaille à les résoudre. À bien des égards, j’en parle depuis plus d’un an depuis la dernière fois. , mais c’est un problème difficile à identifier. C’est comme chercher quelque chose qui pourrait provoquer un incendie : c’est vraiment évident quand on voit la fumée !”

Certains sites ont publié des avis sur leur site Web concernant des problèmes potentiels, et beaucoup ont résolu les problèmes. Shopify a publié une note sur sa page d’incident indiquant que vers 15 h 30, les commerçants et les entreprises partenaires qui avaient du mal à se connecter avaient rétabli leurs services. L’authentification des commerçants pour les interactions avec le support a également été restaurée, a indiqué la société.

Fortinet a dit ZDNet ils étaient au courant et ont enquêté sur le problème lié au certificat CA racine expiré fourni par Lets Encrypt.

“Nous communiquons directement avec les clients et avons fourni une solution de contournement temporaire. De plus, nous travaillons sur une solution à plus long terme pour résoudre ce problème de bord directement dans notre produit”, a déclaré la société dans un communiqué.

L’expert en certificats numériques Tim Callan a déclaré que tous les systèmes numériques modernes dépendent de certificats pour leur fonctionnement continu, y compris ceux qui sécurisent nos environnements cyber et physiques.

« Si le logiciel dépend d’une racine expirée pour valider la chaîne de confiance d’un certificat, la confiance du certificat échouera et, dans la plupart des cas, le logiciel cessera de fonctionner correctement. Les conséquences sont aussi vastes et variées que nos systèmes individuels sont, et de nombreuses fois, des défaillances en cascade ou des défaillances « en aval » entraîneront des problèmes avec des systèmes entièrement différents de celui avec le problème de confiance de certificat d’origine », a déclaré Callan.

« Les systèmes informatiques qui appliquent ou surveillent les politiques de sécurité peuvent cesser de fonctionner. Les systèmes d’alerte et de rapport peuvent échouer. Ou, si les processus dont les humains dépendent pour faire notre travail cessent de fonctionner, ces personnes trouveront souvent des « solutions de contournement » fondamentalement non sécurisées. »

Callan a ajouté que des pannes peuvent survenir lorsque les développeurs intégrés dans des lignes d’opérations commerciales ou d’autres projets skunkworks « obtiennent des certificats » à l’insu du service informatique central, puis passent à de nouvelles tâches ou ne parviennent pas à surveiller le cycle de vie de ces certificats.

Il a noté que la plupart des systèmes seraient capables de résister à une expiration de racine en raison des capacités modernes de chaînage de racine qui permettent à une autre racine d’établir la confiance.

“Cependant, les systèmes existants ou ceux avec des bogues de gestion de certificats non résolus (ou inconnus) sont à risque de défaillances comme celles-ci. Dans le cas d’une racine couramment utilisée d’une autorité de certification populaire, le risque de ces défaillances augmente considérablement”, Callan a expliqué.

TechCrunch a signalé que les appareils susceptibles de rencontrer des problèmes incluent les anciens macOS 2016 et Windows XP (avec Service Pack 3) ainsi que les anciennes versions de Playstations et tous les outils s’appuyant sur OpenSSL 1.0.2 ou une version antérieure.

D’autres experts ont déclaré que les PlayStation 4 ou les appareils antérieurs dont le micrologiciel n’a pas été mis à niveau ne pourraient pas accéder à Internet. Les appareils comme Android 7.1.1 ou une version antérieure seront également affectés.

Selon Callan, qui est responsable de la conformité chez Sectigo, la plupart des logiciels modernes permettent l’utilisation de chaînes de confiance sophistiquées qui permettront des transitions racine sans nécessiter le remplacement des certificats de production. Mais ceux qui sont anciens ou mal conçus ou qui contiennent des bogues de gestion de la chaîne de confiance peuvent ne pas gérer correctement cette transition, entraînant divers échecs potentiels.

Comme de nombreuses entreprises concernées l’ont fait depuis, Callan a suggéré aux entreprises de dresser un inventaire des systèmes utilisant des certificats et des certificats réellement utilisés avant de s’assurer que le logiciel dispose des derniers certificats racine dans son magasin racine.

« En identifiant les points de défaillance potentiels, les services informatiques peuvent enquêter sur ces systèmes à l’avance pour identifier les zones à problèmes et mettre en œuvre des correctifs. Si vous pouvez configurer une version du système dans un environnement sandbox, il est alors facile de tester le comportement attendu une fois que le l’expiration de la racine se produit », a déclaré Callan.

“Il suffit de régler l’horloge du système client à une date postérieure à la date d’expiration pour garantir que le chaînage des certificats fonctionnera correctement. Vous pouvez également désinstaller manuellement ou ne pas faire confiance à la racine qui doit expirer (dans l’environnement sandbox, bien sûr) pour vous assurer que les systèmes n’utilisent que les racines les plus récentes.”

Il a ajouté que la popularité des architectures compatibles DevOps telles que la conteneurisation, la virtualisation et le cloud a considérablement augmenté le nombre de certificats dont l’entreprise a besoin tout en réduisant radicalement leur durée de vie moyenne.

“Cela signifie beaucoup plus d’événements d’expiration, beaucoup plus de temps d’administration requis et un risque considérablement accru d’échec de renouvellement”, a-t-il déclaré.

Sean Nikkel, analyste principal des cybermenaces chez Digital Shadows, a déclaré ZDNet que Let’s Encrypt a averti tout le monde en mai de l’expiration de l’autorité de certification racine aujourd’hui et a proposé des alternatives et des solutions de contournement pour s’assurer que les appareils ne seraient pas affectés pendant le changement.

Ils ont également maintenu un fil de discussion ouvert sur ce problème avec des réponses assez rapides, a ajouté Nikkel.

“Une pratique pas très bonne qui a déjà été proposée comme solution de contournement au problème est d’autoriser les certificats non fiables ou invalides. Les utilisateurs doivent être prudents avant de faire une démarche qui ouvre potentiellement la porte aux attaquants utilisant des certificats compromis”, a déclaré Nikkel.

« Certains utilisateurs ont recommandé des paramètres autorisant les certificats expirés d’émetteurs de confiance ; cependant, ceux-ci peuvent également avoir des utilisations malveillantes. Dans tous les cas, les administrateurs doivent examiner la meilleure solution pour eux, mais également comprendre les risques liés aux solutions de contournement. Alternativement, les administrateurs peuvent examiner chemins de confiance alternatifs en utilisant le certificat intermédiaire que Let’s Encrypt a configuré ou en suivant les configurations suggérées dans leur bulletin de mai.”

 
For Latest Updates Follow us on Google News
 

PREV Koei Tecmo annonce officiellement l’arrivée de l’Atelier Sophie 2 sur Switch en février prochain
NEXT Le test Halo Infinite prouve la promesse « Play Anywhere » de Xbox – Next-Gen Console Watch – IGN
----