SIKKERHETSSERTIFIKATER

Flere rotsertifikater utløper i år. Det kan få maskinvare i perfekt stand til å slutte å virke

Rotsertifikater er i bruk overalt på nettet. Ved utløpsdato kan enheter begynne å feile.

Enheter som ikke lar seg oppdatere kan feile når innebygde rotsertifikat utløper.
Enheter som ikke lar seg oppdatere kan feile når innebygde rotsertifikat utløper. Illustrasjon: Colourbox
Frederik Marcher Hansen, Version2.dk
28. feb. 2020 - 15:12

En rekke rotsertfikater utløper i 2020. Det kan medføre at enheter og systemer slutter å virke, fordi de mangler et gyldig sertifikat til å signere sikker kommunikasjon mellom eksempelvis en IOT-enhet og en server.

– Når rotsertifikater løper ut på dato, så kan det skje at maskinvare i ellers perfekt stand, men der fastvaren ikke kan oppdateres, slutter å fungere, sier lektor Alessandro Bruni ved IT-universitetet i København.

Eksempel på rotsertifikat som slutter å virke snart. <i>Foto:  Skjermdump</i>
Eksempel på rotsertifikat som slutter å virke snart. Foto:  Skjermdump

Et av sertifikatene som løper ut i år er Sectigo sitt AddTrust External CA Root, tidligere kjent som Comodo CA, som benyttes blant annet i nettlesere, mobiltelefoner og operativsystemer.

Dersom et system eller en applikasjon kun stoler på nevnte rotsertifikat, og ikke de mer moderne Comodo- eller USERtrust-røttene, så vil det oppstå feil etter 30. mai, skriver Sectigo på sine nettsider.

– Enhver applikasjon eller installasjon, som er avhengig av sertifikatet må oppdateres i mai 2020, hvis risikoen for nedetid eller feil skal unngås, oppgir selskapet.

Selv nevner de et par aktuelle eksempler, herunder de eldre Android-versjonene 1.5 cupcake og 2.3 gingerbread, som begge er avhengige av AddTrust-sertifikatet for å virke.

Manglende oppdateringer

For enheter og systemer som lar seg oppdatere, bør det altså ikke oppstå probemer, men dette er ikke alltid mulig. Det kan skyldes dårlig design eller en begrenset mengde plass og minne på enheten.

Men selv om berørte enheter fortsatt virker, så kan det likevel bety at de har gått over til å benytte et annet, mer usikker sertifikat for å signere kommunikasjonen.

– Hvis det skjer, så øker risikoen for at enheten blir hacket, konstaterer Alessandro Bruni.

Samme poeng blir anført av Gert Mikkelsen, lederen for Security Lab ved Alexandra-instituttet, som likevel vurderer at det ikke vil føre til større problemer, overodnet sett, når rotsertifikatene utløper.

Han påpeker at enheter med manglende oppdateringer generelt utgjør en trussel mot sikkerheten.

– Det kan være særtilfeller, der en eller annen IOT-enhet slutter å fungere. Men det er alltid et problem med slike dersom man ikke kan oppdater programvaren. Jeg mener at risikoen for andre sikkerhetstrusler (dersom oppdateringer og feilfiks uteblir, red.anm.) er større, og enheten risikerer å bli hacket, sier Mikkelsen.

Sectigos AddTrust External CA Root er ikke det eneste sertifikatet som løper ut i år. Ifølge denne kunngjøringen på en kryptografi-epostliste, så finnes det fire andre, som i løpet av året vil bli ugyldige. Det har kun lyktes oss å finnes fram til det ene eksempelet fra Sectigo.

Saken ble først publisert på danske Version2/Ingeniøren, og gjøres tilgjengelig på norsk gjennom vår samarbeidsavtale med Teknologiens mediehus/Ingeniøren.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.