安全是有分量的

游戏盾_美国高防云_零误杀

2022-06-23 01:40栏目:科技报

游戏盾_美国高防云_零误杀

5月30日,选择Roku流媒体频道停止工作,让受影响的客户不知所措,不知道是什么问题。

公司建议这些客户手动更新设备:

"由于全球技术证书过期,在Roku平台上选择依赖此证书链的流媒体频道可能无法按预期工作。请立即从Roku安装手动软件更新。"

同一天,支付平台突然中断,并将其归咎于证书颁发机构(CA)根证书过期。

我们一直知道SSL证书有一个到期日,但我们没有计划今年会发生这种情况!

为了使SSL/TLS加密发挥作用,服务器向客户端提供SSL证书:一个应用程序(如web浏览器)或一个设备。如果服务器证书即将过期,系统管理员可以轻松地对其进行续订。然而,为了让客户端"信任"任何提供的证书为有效证书,web浏览器、应用程序和设备都配备了一套由可信CA颁发的预装根证书。

现在,这些根证书的有效期确实比服务器证书的有效期要长得多,最长可达20年或25年,但迟早会到期,他们,就像凡人一样,将会死去安全研究员斯科特·赫尔姆(Scott Helme)在其博客的一篇博文中说:"这个问题最近得到了完美的证明,准确地说是5月30日格林威治标准时间10:48:38。当时,AddTrust外部CA根过期,带来了我期待已久的第一个麻烦迹象。"

"我们现在到了一个时间点,很多CA根证书将在未来几年到期,这仅仅是因为加密网络真正启动已经20多年了,这是根CA证书的生命周期。这将让一些组织大为措手不及,"他补充道HelMe预计下一个"有意义的日期"将是2021年9月30日。届时DST根CA X3颁发的CA证书将到期。

这意味着除非及时更新客户端应用程序和设备,否则它们将无法识别导致连接问题的Let's Encrypt certificates。

Helme在他的博客上提供了一些额外的见解,指出最近的Let's Encrypt证书可能与大多数智能电视型号不兼容,因为设备上存在"很少的根存储"。

虽然定期对智能设备应用更新是一个显而易见的解决方案,但对最终用户来说可能并不明显。在定期更新期间,智能设备可以下载新的根CA证书以添加到其根存储中。

这是假设设备制造商继续提供这些更新,以及修改后的根证书!

现实地说,一个智能设备可能会经历持续数周或数月的长时间不活动。如果不经常更新的小工具在脱机时其根CA证书过期,则打开后可能无法重新连接到internet。

例如,不开端口就可以防御ddos,智能灯泡可能具有连接到internet的能力,但在开始提取更新之前,可能需要与服务器建立安全连接。如果此智能灯泡之前已与internet"断开"几个月,传输层的ddos防御软件,而现在更新其根CA证书的宽限期已过,则它可能无法重新连接到internet,除非手动更新(如果可能的话)。

此外,智能灯泡、手表或冰箱等设备缺乏先进的用户界面,无法为用户提供足够的指示,尤其是在技术层面。乍一看,即使是技术上最精明的用户也可能无法成功诊断实际问题。

考虑到可以颁发根证书的CA有很多选择,这些证书传播到终端设备的频率和数量之间似乎存在很大的延迟。

例如,BBC最近更新了他们的SSL证书,但有意选择2012年发布的根CA证书,有效的DDos防御方案,而不是2020年。当然,这意味着2012根证书将在2032年到期(假设到期日为20年),比2020年颁发的证书到期的时间要早,宝塔怎么防御ddos,浅谈DDos攻击攻击与防御,但是,较旧的证书也意味着其被认可的机会更高。

2012年以后生产的许多设备和智能电视可能会安装2012年发布的根CA,因此更有可能与BBC兼容。然而,令我们惊讶的是,"八岁的根CA仍然没有成功地进入‘智能’电视的重要部分,"赫尔姆说,这个小插曲促使BBC探索解决这个问题的其他方法。

正如赫尔姆所强调的,所有这些的讽刺之处在于,即使是最"现代"的设备和小工具也不够现代,因为它们无法解释最新的根证书!

为了让智能设备和物联网继续不间断地运行,并确保用户体验顺畅,行业利益相关者、合作伙伴和竞争对手需要就一套标准实践达成一致并遵守这些实践。到2020年,没有什么理由解释为什么一些设备仍然无法识别2012年发布的根证书。