5月30日,部分Roku流媒体频道停止工作,导致受影响的客户不知道发生了什么问题。
公司建议这些客户手动更新设备:
“由于全球技术证书过期,在Roku平台上选择依赖此证书链的流媒体频道可能无法按预期工作。请立即从Roku安装手动软件更新。“
同一天,支付平台突然出现中断,并将其归咎于证书颁发机构(CA)根证书过期。
我们一直都知道SSL证书有一个过期日期,但我们并没有计划今年会发生这种情况!
为了使SSL/TLS加密正常工作,服务器向客户端提供SSL证书:一个应用程序,如web浏览器或设备。如果服务器证书即将过期,系统管理员可以轻松地续订它。但是,为了让客户机“信任”任何提供的证书为有效证书,web浏览器、应用程序和设备都配备了一组由可信CA颁发的预安装根证书。
现在,这些根证书的有效期确实比服务器证书要长得多——多达20年或25年,但它们迟早会像凡人一样过期。
安全研究员Scott Helme在他的博客上发表文章说:“这个问题最近得到了很好的证明,准确地说是在5月30日格林尼治标准时间10:48:38。当时,AddTrust外部CA根目录已经过期,并带来了我期待已久的第一个问题迹象。”
“我们现在到了一个时间点,有很多CA根证书将在未来几年内到期,这仅仅是因为加密web真正启动已经20多年了,这是根CA证书的生命周期。这将在很大程度上让一些组织措手不及。
赫尔姆预计下一个“潜在重要日期”是2021年9月30日。此时DST根CA X3颁发的CA证书将过期。
这意味着除非客户端应用程序和设备及时更新,否则它们将无法识别我们加密证书导致连接问题。
赫尔姆在他的博客中提供了一些关于最近的Let's Encrypt证书的额外见解,由于设备上存在“很少的根存储”,因此可能与大多数智能电视型号不兼容。
带警告的解决方案
虽然定期对智能设备应用更新是一个显而易见的解决方案,但对于最终用户来说,这可能并不那么明显。在定期更新期间,智能设备可以下载新的根CA证书以添加到其根存储。
这是假设设备制造商继续提供这些更新,这也是,与修订根证书!
实际上,一个智能设备可以经历几周或几个月的长时间不活动。如果不经常更新的小工具在脱机时其根CA证书过期,则在打开时可能无法重新连接到internet。
例如,智能灯泡可能具有连接到internet的能力,但在开始提取更新之前,它可能需要安全连接到其服务器。如果此智能灯泡以前已从internet“断开”几个月,而现在更新其根CA证书的宽限期已过,则它可能无法再重新连接到internet,除非手动更新(如果可能的话)。
此外,智能灯泡、手表或冰箱等设备缺乏先进的用户界面,无法为用户提供足够的指示,尤其是在技术层面。乍一看,即使是最精通技术的用户也可能无法成功诊断实际问题。
考虑到可以颁发根证书的ca有很多选择,这些证书中有多少被传播到终端设备之间似乎有很大的延迟。
例如,BBC最近更新了SSL证书,但有意选择2012年颁发的根CA证书,而不是2020年。当然,这意味着2012根证书将比2020年颁发的证书更早于2032年到期(假设到期日为20年),但较旧的证书也意味着有更高的机会获得认可。
2012年之后生产的许多设备和智能电视可能会安装2012年发布的根CA,因此更可能与BBC兼容。然而,令我们惊讶的是,“8岁的根CA还没有成功进入‘智能’电视的相当一部分,”赫尔姆说,这个小插曲敦促BBC探索这个问题的其他解决方案。
正如Helme所强调的,讽刺的是,即使是最“现代”的设备和小工具也不够现代,因为它们无法解释最新的根证书!
为了使智能设备和物联网继续不间断地运行,并确保用户体验顺畅,行业利益相关者、合作伙伴和竞争对手需要就一套标准做法达成一致并遵守这些做法。到2020年,一些设备仍然无法识别2012年发布的根证书,这几乎没有理由。
为什么SSL证书会过期?
SSL证书不是永久有效的,它是有一个有效期的,超过这个期限就会过期,我们无法确保一个网站是永远安全的,尤其是在互联网时代,更新换代太快,这种情况下网站的安全性很容易被破坏。
证书过期后,浏览器就会提示该网站不安全,或者链接不安全,通常这样的情况下,网民们会因提示而不再选择继续访问网站,这样不仅会影响企业对外的品牌形象,使网民对网站失去信任,更会导致网站有极大的盈利损失。
使用过期的证书会发生的风险
SSL证书能保证网站流量不被劫持,一旦SSL证书过期失效,那么网站流量就很有可能被劫持。对于普通网民来说,如果他们的浏览器警告他们网站不安全,或者在这种情况下他们的连接不安全,那么大多数网民一定会选择不再继续访问该网站。
SSL证书过期应该怎么办?
如果您的ssl证书过期了,将无法继续使用,您需要在您的证书到期前到数安时代GDCA办理续费。续费完成后,证书服务系统将复制当前证书订单的信息到续费订单中,同时自动将续费证书订单提交审核。
审核通过后,您将获得一张新的数字证书,您需要在您的服务器上安装新的数字证书来替换即将过期的证书。并且到期之前数安时代GDCA会提醒您证书到期,办理手续。
声明:部分内容翻译自:bleepingcomputer本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代