Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:12963 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
红队渗透手册之弹药篇   2020.08.08 17:12:23  288
Chrome浏览器的实用插件推荐   2020.08.04 20:01:02  99
记录一次“梅花三弄”的渗透之旅   2020.08.03 20:00:35  77
用这个网站一查,才知道自己被卖了   2020.08.04 20:06:35  72
WMCTF-WriteUp   2020.08.06 08:00:37  65
每日攻防资讯简报[Aug.3th]   2020.08.03 20:00:04  55
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
物联网的新危机!即将到期的SSL证书可能会影响你的智能电视和冰箱
本文来自公众号:安全客   2020.06.13 10:00:28




5月30日,流媒体聚合平台 Roku一部分发生了运行故障 ,受影响的用户毫无头绪,不知道出了什 么问题。
Roku 建议这些客户手动更新设备:
“由于全球技术证书到期,因此Roku平台上某些依赖此证书链的传输频道可能无法正常工作。请立即从Roku安装手动软件更新。”
当天, Stripe Spreedly 付款平台遇到了中断,并将其归咎于证书颁发机构(CA)根证书已过期。

大家一直都知道SSL证书的到期时间,但今年发生的事情出乎意料!
服务器向客户端(例如Web浏览器之类的应用程序或设备)提供SSL证书使得SSL / TLS加密起作用。如果服务器证书即将到期,系统管理员续订十分简单。但为了使客户端“相信”任何显示的证书都是有效证书,Web浏览器、应用程序和设备配备了一组由可信赖的CA颁发的预安装根证书。
目前那些根证书的有效期要比服务器证书的有效期长得多-最多可达20或25年,但它们也迟早会过期。
安全研究人员Scott Helme在自己的博客上说:
这个问题最近已经得到了证实,确切地说在格林尼治标准时间5月30日10:48:38。AddTrust外部CA根目录过期,引发了第一件麻烦事,对此我观察了一段时间。”

“现在到了一个关键时间点,在接下来的几年中会有许多CA Root证书过期,因为加密网络正式启动已经有20多年了,这就是Root CA证书的生命周期。将会在很大程度上令一些组织措手不及。” 他补充说。
Helme预计下一个“重要日期”是2021年9月30日。那时DST根CA X3颁发的CA证书将会过期。
这意味着,除非及时更新客户端应用和设备,不然它们将无法识别引发连接问题的“加密”证书。
Helme一直在预警“预计两年之内将出现的问题”,他在 博客 上提供了一些新的见解和看法,因为 最近的Let's Encrypt证书可能与大多数智能电视型号不兼容,因为该许可证上存在“很少的根存储”设备。

注意事项及解决方案
对于终端用户而言,定期更新智能设备可能并不是最优解。在定期更新期间,智能设备可以下载新的根CA证书添加到根存储中。
不过前提是设备制造商持续提供这些更新,并且还会提供修订后的根证书!
实际上,一个智能小工具可能会经历数周或数月的不活跃状态。如果这些不经常更新的小工具在脱机时根CA证书已过期,那么重新打开时可能无法重新连接到互联网。
例如,智能灯泡具有联网能力,但是它可能需要与其服务器的安全连接才能开始提取更新。如果此智能灯泡先前已与互联网“断开连接”了几个月,现在已经过了更新其根CA证书的宽限期,则它可能再也无法联网,除非可以手动更新。
而且,诸如智能灯泡,手表或冰箱之类的设备缺少高级UI,高级UI可以为用户提供发生此类情况的提示,尤其是在技术层面上。如若不然,即使是精通技术的用户也可能无法诊断故障的实际原因。
鉴于可以选择颁发根证书的CA的选项非常多,似乎将这些证书传播到终端设备的频率和数量之间存在明显的延迟。
例如,英国广播公司(BBC)最近更新了SSL证书, 因为较旧的证书也意味着被认可的可能性更高。 BBC 故意选择了2012年颁发的根CA证书,而不是2020年的证书。意味着2012年的根证书可能在2032年之前提前过期 (假设有20年的失效日期)。


2012年以后制造的许多设备和智能电视很可能安装了2012年发布的根CA,因此能更好的兼容BBC。Helme说:“令我们惊讶的是,“成立8年的Root CA仍然不能成功进入大部分“智能”电视。”这个小问题促使BBC不得不探索其他解决方案。
讽刺的是正如Helme强调的那样,即使是最“现代”的设备和gadget也不够“现代”,因为它们不能安装最新的根证书!
为了让智能设备和IoT继续不间断地运行并确保用户体验良好,行业利益相关者、合作伙伴和竞争对手需要就一套标准实践达成一致并共同遵守它们。因为到2020年,一些设备仍然无法识别2012年发布的root证书。





- End -


精彩推荐

Fastjson <=1.2.68 反序列化远程命令执行漏洞分析

从"新"开始学习恶意代码分析——静态分析

SQLServer数据库注入详解

微信朋友圈分析



公众号后台回复关键词 “渗透测试” 查看公众号渗透测试历史精选文章合集!
公众号后台 回复关键词 “漏洞分析” 查看经典漏洞分析合集get新思路!




觉得内容不错就点个 “在看” 吧!