Fortinet, Shopify e altri siti hanno segnalato problemi dopo la scadenza di una root utilizzata dai certificati SSL Let's Encrypt
Molti siti web e servizi hanno segnalato problemi giovedì 30 Settembre 2021 a causa della scadenza
di una root utilizzata dai certificati SSL Let's Encrypt.
Scott Helme, fondatore di Security Headers, ha seguito il problema e ha spiegato che milioni di siti web
si affidano ai servizi Let's Encrypt e che, senza di essi, alcuni dispositivi meno recenti non saranno
più in grado di verificare determinati certificati.
Let's Encrypt opera come un'organizzazione no-profit gratuita che si assicura che le connessioni
tra i vari dispositivo e internet siano sicure e crittografate.
Nonostante l'avviso anticipato che la data di scadenza sarebbe stata il 30 settembre, quando la scadenza
è arrivata, dozzine di utenti hanno segnalato problemi.
Helme ha dichiarato a ZDNet che i problemi hanno riguardato, tra gli altri, anche Palo Alto, Bluecoat,
Cisco Umbrella, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring,
Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League,
InstaPage, Ledger, Netlify e Cloudflare Pages.
"Ci sono un paio di soluzioni per risolvere questo problema a seconda di quale sia il problema esatto:
- Il servizio/sito web deve aggiornare la catena di certificati esposti su public internet
- Il client ha bisogno di un aggiornamento
Per le aziende interessate, non è che tutto sia inattivo, ma stanno sicuramente avendo problemi
di servizio e loro tecnici stanno lavorando faticosamente per risolverli.”
Fortinet ha detto a ZDNet di essere a conoscenza e di aver indagato sul problema relativo al certificato CA root scaduto fornito da Let’s Encrypt.
L'esperto di certificati digitali Tim Callan, che ricopre il ruolo di chief compliance officer presso
una Certification Authority, ha affermato che tutti i moderni sistemi digitali dipendono dai certificati
per il loro funzionamento continuo, compresi quelli che proteggono i nostri ambienti informatici e fisici.
"Se il software dipende da una root scaduta per convalidare la catena per un certificato, il trust del certificato
fallirà e, nella maggior parte dei casi, il software cesserà di funzionare correttamente.
Le conseguenze di ciò sono ampie e varie ed errori a cascata o errori "a valle" porteranno a problemi con sistemi
completamente diversi da quello originale. I sistemi IT che applicano o monitorano le politiche di sicurezza
possono smettere di funzionare ed i sistemi di avviso e segnalazione possono fallire." ha affermato Callan.
Sempre secondo Callan la maggior parte dei software moderni consente l'utilizzo di sofisticate catene
di trust che consentiranno le transizioni root senza richiedere la sostituzione dei certificati di produzione.
Ma quelli che sono vecchi o mal progettati o che contengono bug di gestione della catena di trust potrebbero
non gestire correttamente questa transizione, portando a vari potenziali errori.
TechCrunch ha riferito che i dispositivi che potrebbero riscontrare problemi includono macOS 2016 e
Windows XP precedenti (con Service Pack 3), nonché versioni precedenti di Playstation e
qualsiasi strumento basato su OpenSSL 1.0.2 o precedente.
Altri esperti hanno affermato che PlayStation 4 o dispositivi precedenti che non hanno avuto il firmware
aggiornato non sarebbero in grado di accedere a Internet. Saranno interessati anche dispositivi
come Android 7.1.1 o versioni precedenti.
FONTE: https://www.zdnet.com/article/fortinet-shopify-others-report-issues-after-root-ca-certificate-from-lets-encrypt-expires/