[English]Nun wird das bittere Ende der Smartgeräte wie Smart TVs, Kühlschränke oder andere IoT-Devices (Smart Speaker, Thermostate etc.) sichtbar. Es sind nicht mal fehlende Updates für deren Software. Sondern es sind abgelaufene Zertifikate, die die Geräte ins 'Abseits' kicken könnten.
Anzeige
Es ist mir bereit vor einigen Tagen auf Twitter ins Auge gesprungen – jemand wies auf ausgelaufene Zertifikate bei intelligenten Kühlschränken hin.
When your refrigerator has an expired security certificate. pic.twitter.com/JGQMrECVUS
— Brian Roemmele (@BrianRoemmele) April 21, 2020
Als ich dann heute mal gesucht habe, kamen noch weitere Tweets zum Vorschein. Nachfolgend stellt jemand die Frage, was bei auslaufenden Zertifikaten passiert.
Checking out the memorial day deals at Lowe's. Taking a pass on this Samsung smart refrigerator. Don't feel like spending my time debugging certificate errors in the kitchen. @internetofshit pic.twitter.com/vZUHlVnyvJ
— Ben Zipperer (@zipsays) May 25, 2020
Anzeige
Die Botschaft: Ein Internet of Trouble (IoT) liegt vor der Käuferschar der sogenannten Smart-Devices. The Register hat einen Beitrag An Internet of Trouble lies ahead as root certificates begin to expire en masse, warns security researcher dazu veröffentlicht. Dieser basiert auf diesem Artikel von Scott Helme. Sicherheitsforscher weisen darauf hin, dass mächtig Ärger droht, wenn die Root-Zertifikate (Stamm-Zertifikate) auslaufen und die Geräte keine Internetverbindung mehr bekommen.
Ohne gültiges Zertifikat keine sicheren Verbindungen
Denn sichere Internetverbindungen hängen davon ab, dass der Server dem Client ein gültiges Zertifikat vorlegt. Das häufigste Problem ist, dass das Server-Zertifikat veraltet ist, was vom Server-Administrator leicht behoben werden kann. Um das Zertifikat zu validieren, muss der Client jedoch ein vertrauenswürdiges Stammzertifikat der ausstellenden Behörde haben, und das, so Sicherheitsspezialist Helme, ist ein Problem für Geräte, die nie aktualisiert werden.
Typischerweise haben Root-Zertifikate zwar eine lange Lebensdauer, z.B. 25 Jahre, aber sie laufen trotzdem ab. Wenn eines dieser Root-Zertifikate in einen Smart TV, einen Kühlschrank oder ein Sicherheitssystem eingebettet ist, hat dies zur Folge, dass die Verbindung abbricht. Und die Benutzer erhalten wenig Hinweise darauf, was schief gelaufen ist.
Paradebeispiel AddTrust-Zertifikat läuft aus
"Dieses Problem wurde vor kurzem, am 30. Mai um 10:48:38 GMT, um genau zu sein, perfekt demonstriert", wird Helme zitiert. "Genau zu dieser Zeit lief dann die AddTrust External CA [Certificate Authority] Root ab und brachte die ersten Anzeichen von Problemen mit sich, auf die ich schon seit einiger Zeit gewartet hatte."
Das Ergebnis war, dass einige Roku-Streaming-Geräte nicht mehr funktionierten und manuell aktualisiert werden mussten. Das Problem bezeichnete das Unternehmen als "global technical certificate expiration". Es gab auch Probleme bei den Zahlungsanbietern Stripe und Spreedly.
"Wir kommen jetzt an einen Punkt, an dem es viele CA-Root-Zertifikate gibt, die in den nächsten Jahren ablaufen. Es ist einfach mehr als 20 Jahre her, dass man mit dem verschlüsselten Web wirklich angefangen hat. Und die 2 Jahrzehnte entsprechen der Lebensdauer eines Root-CA-Zertifikats. Dies wird einige Organisationen in hohem Maße überrascht haben", sagt Helme.
Helme arbeitete bezüglich dieser Frage mit der BBC zusammen. Als die BBC kürzlich ein neues Zertifikat für einen Server ausgestellt bekam, verwendete sie ein CA-Root-Zertifikat aus dem Jahr 2012. Das Problem ist jedoch, dass "das acht Jahre alte Root-CA es immer noch nicht geschafft hat, auf einen bedeutenden Teil der 'intelligenten' Fernseher (Smart TVs) zu gelangen", so Helme. Der Artikel hält noch weitere Beispiele bereit – und Besitzer älterer Android-Geräte oder Mobil-Devices werden ähnliche Überraschungen erleben.
Anzeige
Wieso gibt es nicht jedes Jahr ein neues root certificat (parallel zum "alten")?
Das löst das Problem zwar nicht, aber verhindert doch das an vielen Stellen gleichzeitig das Certifikat ausläuft.
Weil es die CA Geld kostet?
Last (un-)famous words:
"Niemand braucht ein Gerät länger als 2 Jahre, schon garnicht der Hersteller"
Deswegen:
Das Problem ist jedoch, dass "das acht Jahre alte Root-CA es immer noch nicht geschafft hat, auf einen bedeutenden Teil der 'intelligenten' Fernseher (Smart TVs) zu gelangen", so Helme.
Also es gibt neuere Zertifikate als dieses 8 Jahre alte Teil?
Und aus Trägheit werden keinen neuen genommen, sondern 20 Jahre alte immer wieder?
Irgendwie fehlt mir da ein Bit :-))
Nein. Die Hersteller kriegen es nicht einmal gebacken, ein Zertifikat, dass so schon 8 Jahre existiert, auf ihren Geräten installiert zu bekommen, bevor sie ihren Schrott an Dich und mich verkaufen. Jetzt deutlicher? :-)
Ich musste das jetzt einfach mal los werden, auch wenn ich 3 Jahre später dran bin als der Rest hier.
"Willkommen in der ach so tollen IoT-Welt" ;-)
[Aluhut]
Ihre Daten sind sicher!
[/Aluhut]
"Internet of Trouble (IoT)" 👍 😀
Auf dem Kühlschrank kann man lesen das er 10 Jahre Garantie auf die Kühlfunktion hat. Solange sollte es dann auch mindestens Softwareupdates geben.
Zertifikate sollten durch die Hersteller regelmäßig aktualisiert werden. Selbst Microsoft bekommt das hin.
https://support.microsoft.com/de-de/help/3004394/support-for-urgent-trusted-root-updates-for-windows-root-certificate-p
Der Hersteller kann noch so viel unternehmen die Zertifikate auf die Geräte zu bekommen, wenn der Anwender nicht mitspielt funktioniert das nicht. Geräte nicht online obwohl SMART, User drückt Meldungen immer wieder weg. Zwangsupdates können auch nach hinten losgehen, egal wie man es macht, es ist verkehrt :-)
Problem an der Stelle, es müsste für jedes Gerät so etwas wie eine Fallback URL geben, wo ohne großen Probleme die aktuellsten Zertifikate heruntergeladen und installiert werden könnten, für den worst case.
Der User sollte dann nur einen Knopf oder Schaltfläche mit Zertifikate erneuern drücken und das System würde sich "reparieren"