Foi comunicado que milhares de dispositivos perderão o acesso ao World Wide Web (WWW), pois um dos primeiros certificados SSL irá expirar amanhã, dia 30 de setembro. Para entender melhor precisamos compreender sobre qual certificado estamos falando e como ele funciona.
Autoridade de certificação (CA)
Segundo a SSL, uma autoridade de certificação (CA) é uma organização ou empresa que trabalha para validar as identidades de entidades (sites, endereços de email, empresas ou pessoas físicas) e vinculá-las à chaves de criptografia através da emissão de documentos eletrônicos, também chamados de certificados digitais.
Certificados são integrados ao seu sistema operacional e geralmente são atualizados como parte do processo normal de atualização do sistema operacional. O certificado aqui que vai causar um problema é este, o IdenTrust DST Root CA X3, certificado raiz do Let’s Encrypt, com vencimento em 30/09/2021, conforme imagem a seguir.
A segurança é garantida através da utilização de certificados SSL – empresas e grupos se dedicam a emitir esses certificados para servidores online (CA). Vale lembrar que o Let´s Encrypt é uma autoridade para emissão de certificados gratuitos e automáticos onde é exclusivamente para benefício público.
Como o certificado raiz do Let’s Encrypt funciona?
Essa ferramenta tem a finalidade de emitir o certificado digital necessário para que qualquer pessoa consiga habilitar o protocolo HTTPS em seu(s) website(s). Porém, esses certificados precisam ser renovados de tempo em tempo, levando geralmente alguns anos. Contudo, para que tenha segurança nesses dispositivos e podermos confiar, eles devem ter seus próprios tipos de certificações pré – instalados (certificados raiz), onde sua duração é em torno de 20 á 25 anos.
A questão é que já se passaram duas décadas da utilização destes certificados, portanto começaram a expirar, sendo o certificado raiz do Let´s Encrypt, o IdentTrust DTS root CA x3, um dos primeiros.
A maioria de nossos dispositivos poderá passar esse dia normalmente, pois os fornecedores de hardware e software estão há algum tempo atualizando seus firmware e sistemas operacionais, porém, aqueles que não fizeram isso poderão encontrar um problema quando ficarem sem acesso ao WWW.
Os sistemas que ainda serão afetados por esta expiração é qualquer coisa que dependa do OpenSSL 1.0.2 ou biblioteca anterior, lançado em 22 de janeiro de 2015 e última atualização como OpenSSL 1.0.2u em 20 de dezembro de 2019. O OpenSSL lançou uma postagem no seu blog detalhando quais ações as pessoas afetadas podem tomar.
Acompanhe alguns exemplos de dispositivos que poderão ficar sem o acesso:
- Os sistemas integrados projetados para não serem atualizados automaticamente;
- Smartphones com as versões de software inferiores demais;
- Versões do MS Windows anteriores ao XP Service Pack 3;
- Versões do MacOS inferiores ao de 2016;
- PlayStations antigos que não receberam atualizações de firmware;
- Todos os software baseados em OpenSSl 1.0.2 ou inferior.
No caso do Android, o Let´s Encrypt comunicou que lançou um sistema de assinatura cruzada, onde estende por mais três anos a validade para dispositivos com Android 7.1.1 ou inferior.
O pesquisador de segurança Scott Helme comentou recentemente em seu blog que, devido a sua popularidade, a expiração do IdentTrust DST Root CA X3 vai causar mais dores de cabeça do que foi a do Add Trust, outro certificado raiz que expirou anteriormente.
O que acontecerá quando a raiz IdenTrust expirar?
A pergunta principal é “o que acontecerá quando a raiz IdenTrust expirar?” e a resposta é simples: Ninguém sabe exatamente o que vai acontecer amanhã, teremos que esperar para ver. Certamente alguns sites serão quebrados, o que só confirma que os sistemas precisam ser atualizados constantemente para que situações como essa não sejam mais um problema na rotina complexa dos departamentos de TI. Precisamos falar mais sobre atualizações e como elas são importantes e não devem ser negligenciadas nas empresas. Com segurança não se brinca.
A cibersegurança deve ser um assunto em pauta sempre, principalmente nas empresas. A XLabs Security conta com um time de especialistas e pesquisadores de ameaças, sempre prontos para ajudar a sua empresa a estar um passo à frente. Fale agora mesmo com um de nossos especialistas.