Fortinet, Shopify, dan lainnya melaporkan masalah setelah sertifikat CA root dari Lets Encrypt kedaluwarsa

Sejumlah situs web dan layanan melaporkan masalah pada hari Kamis berkat berakhirnya sertifikat root yang disediakan oleh Let’s Encrypt, salah satu penyedia sertifikat HTTPS terbesar.

Sekitar pukul 10 pagi ET, IdentTrust DST Root CA X3 kedaluwarsa menurut Scott Helme, pendiri Security Headers. Dia telah melacak masalah ini dan menjelaskan jutaan situs web bergantung pada layanan Let’s Encrypt dan tanpa mereka, beberapa perangkat lama tidak akan lagi dapat memverifikasi sertifikat tertentu.

Let’s Encrypt beroperasi sebagai organisasi nirlaba gratis yang memastikan koneksi antara perangkat Anda dan internet aman dan terenkripsi.

Meskipun ada peringatan sebelumnya bahwa tanggal kedaluwarsa adalah pada 30 September, ketika tenggat waktu tercapai, lusinan pengguna melaporkan masalah dengan berbagai layanan dan situs web.

Helme mengatakan kepada ZDNet bahwa dia mengkonfirmasi masalah dengan Palo Alto, Bluecoat, Cisco Umbrella, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, Netlify, dan Cloudflare Pages, tetapi perhatikan bahwa mungkin ada lebih banyak lagi.

“Ada beberapa cara untuk menyelesaikan ini tergantung pada apa masalahnya sebenarnya, tetapi intinya adalah: Layanan/situs web perlu memperbarui rantai sertifikat yang mereka layani kepada klien atau, klien yang berbicara dengan situs web/layanan membutuhkan update,” jelas Helme.

“Untuk perusahaan yang terkena dampak itu tidak seperti semuanya sedang down, tetapi mereka pasti mengalami masalah layanan dan memiliki insiden terbuka dengan staf yang bekerja untuk menyelesaikannya. Dalam banyak hal saya telah membicarakan hal ini selama lebih dari setahun sejak terakhir kali terjadi, tetapi itu masalah yang sulit untuk diidentifikasi. Ini seperti mencari sesuatu yang dapat menyebabkan kebakaran: sangat jelas ketika Anda dapat melihat asapnya!”

Beberapa situs memposting pemberitahuan di situs web mereka tentang potensi masalah dan banyak yang telah menyelesaikan masalah tersebut. Shopify memposting catatan di halaman insidennya bahwa sekitar pukul 15:30, pedagang dan mitra perusahaan yang berjuang untuk masuk telah memulihkan layanan mereka. Otentikasi pedagang untuk interaksi Dukungan juga telah dipulihkan, kata perusahaan itu.

Fortinet memberi tahu ZDNet bahwa mereka mengetahui dan telah menyelidiki masalah yang berkaitan dengan sertifikat CA root yang kedaluwarsa yang disediakan oleh Lets Encrypt.

“Kami berkomunikasi langsung dengan pelanggan dan telah memberikan solusi sementara. Selain itu, kami sedang mengerjakan solusi jangka panjang untuk mengatasi masalah kasus tepi ini secara langsung di dalam produk kami,” kata perusahaan itu dalam sebuah pernyataan.

Pakar sertifikat digital Tim Callan mengatakan semua sistem digital modern bergantung pada sertifikat untuk kelangsungan operasinya, termasuk yang mengamankan lingkungan siber dan fisik kita.

“Jika perangkat lunak bergantung pada root yang kedaluwarsa untuk memvalidasi rantai kepercayaan untuk sertifikat, maka kepercayaan sertifikat akan gagal dan dalam banyak kasus perangkat lunak akan berhenti berfungsi dengan benar. Konsekuensinya luas dan beragam seperti sistem individual kita, dan berkali-kali kegagalan cascading atau kegagalan ‘hilir’ akan menyebabkan masalah dengan sistem yang sama sekali berbeda dari sistem dengan masalah kepercayaan sertifikat asli,” kata Callan.

“Sistem TI yang menegakkan atau memantau kebijakan keamanan dapat berhenti bekerja. Sistem peringatan dan pelaporan dapat gagal. Atau, jika proses yang diandalkan manusia untuk melakukan pekerjaan kita berhenti berfungsi, seringkali orang-orang itu akan menemukan “pemecahan masalah” yang pada dasarnya tidak aman.”

Callan menambahkan bahwa pemadaman dapat terjadi ketika pengembang yang tertanam dalam lini operasi bisnis atau proyek skunkworks lainnya “memperoleh sertifikat” tanpa sepengetahuan TI pusat dan kemudian beralih ke tugas baru atau gagal memantau siklus hidup sertifikat ini.

Dia mencatat bahwa sebagian besar sistem akan mampu mengatasi kedaluwarsa root karena kemampuan root chaining modern yang memungkinkan root lain untuk membangun kepercayaan.

“Namun, sistem lama atau yang sebelumnya memiliki bug penanganan sertifikat (atau tidak diketahui) berisiko mengalami kegagalan seperti ini. Jika root yang umum digunakan dari CA populer, risiko kegagalan ini meningkat secara signifikan,” Callan menjelaskan.

TechCrunch melaporkan bahwa perangkat yang mungkin menghadapi masalah termasuk macOS 2016 dan Windows XP yang lebih lama (dengan Paket Layanan 3) serta versi Playstation yang lebih lama dan alat apa pun yang mengandalkan OpenSSL 1.0.2 atau yang lebih lama.

Pakar lain mengatakan PlayStations 4s atau perangkat sebelumnya yang belum diupgrade firmwarenya tidak akan dapat mengakses Internet. Perangkat seperti Android 7.1.1 atau yang lebih lama juga akan terpengaruh.

Menurut Callan, sebagian besar perangkat lunak modern memungkinkan penggunaan rantai kepercayaan canggih yang memungkinkan transisi root tanpa memerlukan penggantian sertifikat produksi. Tetapi mereka yang lama atau dirancang dengan buruk atau mengandung bug penanganan rantai kepercayaan mungkin tidak menangani transisi ini dengan benar, yang menyebabkan berbagai potensi kegagalan.

Seperti yang telah dilakukan oleh banyak perusahaan yang terpengaruh, Callan menyarankan perusahaan untuk menginventarisasi sistem menggunakan sertifikat dan sertifikat aktual yang digunakan sebelum memastikan bahwa perangkat lunak memiliki sertifikat root terbaru di toko akarnya.

“Dengan mengidentifikasi di mana titik kegagalan potensial terjadi, departemen TI dapat menyelidiki sistem ini sebelumnya untuk mengidentifikasi area masalah dan menerapkan perbaikan. Jika Anda dapat menyiapkan versi sistem di lingkungan kotak pasir, maka mudah untuk menguji perilaku yang diharapkan setelah kedaluwarsa root terjadi,” kata Callan.

“Cukup atur jam sistem klien maju ke tanggal setelah tanggal kedaluwarsa untuk memastikan rantai sertifikat akan bekerja dengan benar. Atau, Anda dapat menghapus secara manual atau tidak mempercayai root yang disetel kedaluwarsa (di lingkungan kotak pasir, tentu saja) untuk meyakinkan diri sendiri bahwa sistem hanya menggunakan akar yang lebih baru.”

Dia menambahkan bahwa popularitas arsitektur ramah DevOps seperti containerization, virtualization, dan cloud telah sangat meningkatkan jumlah sertifikat yang dibutuhkan perusahaan, sementara secara radikal mengurangi umur rata-rata mereka.

“Itu berarti lebih banyak peristiwa kedaluwarsa, lebih banyak waktu administrasi yang diperlukan, dan sangat meningkatkan risiko pembaruan yang gagal,” katanya.

Analis ancaman siber senior Digital Shadows Sean Nikkel mengatakan kepada ZDNet bahwa Let’s Encrypt memberi tahu semua orang pada bulan Mei tentang berakhirnya Root CA hari ini dan menawarkan alternatif dan solusi untuk memastikan bahwa perangkat tidak akan terpengaruh selama pergantian.

Mereka juga membuka utas forum yang sedang berjalan tentang masalah ini dengan tanggapan yang cukup cepat, tambah Nikkel.

“Praktik yang tidak bagus yang sudah dilontarkan sebagai solusi untuk masalah ini adalah mengizinkan sertifikat yang tidak tepercaya atau tidak valid. Pengguna harus berhati-hati dalam membuat langkah yang berpotensi membuka pintu bagi penyerang menggunakan sertifikat yang dikompromikan,” kata Nikkel.

“Beberapa pengguna telah merekomendasikan pengaturan yang memungkinkan sertifikat kedaluwarsa dari penerbit tepercaya; namun, ini juga dapat memiliki penggunaan berbahaya. Bagaimanapun, administrator harus memeriksa solusi terbaik untuk mereka tetapi juga memahami risiko untuk solusi apa pun. Atau, administrator dapat melihat jalur kepercayaan alternatif dengan menggunakan sertifikat perantara yang telah disiapkan oleh Let’s Encrypt atau mengikuti konfigurasi yang disarankan dari buletin Mei mereka.”