|即将到期的SSL证书可能会破坏智能电视、冰箱等物联网安全性
5月30日 , 部分Roku流媒体频道停止工作 , 导致受影响的客户不知道发生了什么问题 。
公司建议这些客户手动更新设备:
“由于全球技术证书过期 , 在Roku平台上选择依赖此证书链的流媒体频道可能无法按预期工作 。 请立即从Roku安装手动软件更新 。 “
同一天 , 支付平台突然出现中断 , 并将其归咎于证书颁发机构(CA)根证书过期 。
本文插图
我们一直都知道SSL证书有一个过期日期 , 但我们并没有计划今年会发生这种情况!
为了使SSL/TLS加密正常工作 , 服务器向客户端提供SSL证书:一个应用程序 , 如web浏览器或设备 。 如果服务器证书即将过期 , 系统管理员可以轻松地续订它 。 但是 , 为了让客户机“信任”任何提供的证书为有效证书 , web浏览器、应用程序和设备都配备了一组由可信CA颁发的预安装根证书 。
现在 , 这些根证书的有效期确实比服务器证书要长得多——多达20年或25年 , 但它们迟早会像凡人一样过期 。
安全研究员Scott Helme在他的博客上发表文章说:“这个问题最近得到了很好的证明 , 准确地说是在5月30日格林尼治标准时间10:48:38 。 当时 , AddTrust外部CA根目录已经过期 , 并带来了我期待已久的第一个问题迹象 。 ”
“我们现在到了一个时间点 , 有很多CA根证书将在未来几年内到期 , 这仅仅是因为加密web真正启动已经20多年了 , 这是根CA证书的生命周期 。 这将在很大程度上让一些组织措手不及 。
赫尔姆预计下一个“潜在重要日期”是2021年9月30日 。 此时DST根CA X3颁发的CA证书将过期 。
这意味着除非客户端应用程序和设备及时更新 , 否则它们将无法识别我们加密证书导致连接问题 。
赫尔姆在他的博客中提供了一些关于最近的Let's Encrypt证书的额外见解 , 由于设备上存在“很少的根存储” , 因此可能与大多数智能电视型号不兼容 。
带警告的解决方案
虽然定期对智能设备应用更新是一个显而易见的解决方案 , 但对于最终用户来说 , 这可能并不那么明显 。 在定期更新期间 , 智能设备可以下载新的根CA证书以添加到其根存储 。
这是假设设备制造商继续提供这些更新 , 这也是 , 与修订根证书!
【|即将到期的SSL证书可能会破坏智能电视、冰箱等物联网安全性】实际上 , 一个智能设备可以经历几周或几个月的长时间不活动 。 如果不经常更新的小工具在脱机时其根CA证书过期 , 则在打开时可能无法重新连接到internet 。
例如 , 智能灯泡可能具有连接到internet的能力 , 但在开始提取更新之前 , 它可能需要安全连接到其服务器 。 如果此智能灯泡以前已从internet“断开”几个月 , 而现在更新其根CA证书的宽限期已过 , 则它可能无法再重新连接到internet , 除非手动更新(如果可能的话) 。
此外 , 智能灯泡、手表或冰箱等设备缺乏先进的用户界面 , 无法为用户提供足够的指示 , 尤其是在技术层面 。 乍一看 , 即使是最精通技术的用户也可能无法成功诊断实际问题 。
考虑到可以颁发根证书的ca有很多选择 , 这些证书中有多少被传播到终端设备之间似乎有很大的延迟 。
例如 , BBC最近更新了SSL证书 , 但有意选择2012年颁发的根CA证书 , 而不是2020年 。 当然 , 这意味着2012根证书将比2020年颁发的证书更早于2032年到期(假设到期日为20年) , 但较旧的证书也意味着有更高的机会获得认可 。
本文插图
2012年之后生产的许多设备和智能电视可能会安装2012年发布的根CA , 因此更可能与BBC兼容 。 然而 , 令我们惊讶的是 , “8岁的根CA还没有成功进入‘智能’电视的相当一部分 , ”赫尔姆说 , 这个小插曲敦促BBC探索这个问题的其他解决方案 。
推荐阅读
- |2020北高遥·开创牛·云招募峰会(第二期)即将开幕
- 新机发布|红米10X Pro要出新配色,答案即将揭晓,网友:期待米6“亮银色”
- 新机发布|小米神秘5G新机正式通过工信部入网,红米K30即将成明日黄花
- 手机芯片,5G|即将击穿2000元!荣耀V30价格再降,麒麟990+前置双打孔
- 拍照摄影|即将进入大学的新生想入手一台相机,该如何选?
- 科学|太空竞争激烈!SpaceX星链即将运用,友商纷纷加码
- 科学探索|准备好“亲吻”太阳了吗? 最接近太阳的探测器即将升空!
- 行业互联网,5G|新消息:澳大利亚损失较大,英国改口,6nm芯片即将诞生!
- |单次充电续航 400 英里以上 电动雪佛兰皮卡即将登场
- 新机发布|原创 Realme 6i即将在印度发布:Helio G90T+90Hz+48MP四摄!