Abgelaufene Zertifikate kicken IoT-Geräte ins Abseits

[English]Nun wird das bittere Ende der Smartgeräte wie Smart TVs, Kühlschränke oder andere IoT-Devices (Smart Speaker, Thermostate etc.) sichtbar. Es sind nicht mal fehlende Updates für deren Software. Sondern es sind abgelaufene Zertifikate, die die Geräte ins 'Abseits' kicken könnten.


Anzeige

Es ist mir bereit vor einigen Tagen auf Twitter ins Auge gesprungen – jemand wies auf ausgelaufene Zertifikate bei intelligenten Kühlschränken hin.

Als ich dann heute mal gesucht habe, kamen noch weitere Tweets zum Vorschein. Nachfolgend stellt jemand die Frage, was bei auslaufenden Zertifikaten passiert.

Die Botschaft: Ein Internet of Trouble (IoT) liegt vor der Käuferschar der sogenannten Smart-Devices. The Register hat einen Beitrag An Internet of Trouble lies ahead as root certificates begin to expire en masse, warns security researcher dazu veröffentlicht. Dieser basiert auf diesem Artikel von Scott Helme. Sicherheitsforscher weisen darauf hin, dass mächtig Ärger droht, wenn die Root-Zertifikate (Stamm-Zertifikate) auslaufen und die Geräte keine Internetverbindung mehr bekommen.

Ohne gültiges Zertifikat keine sicheren Verbindungen

Denn sichere Internetverbindungen hängen davon ab, dass der Server dem Client ein gültiges Zertifikat vorlegt. Das häufigste Problem ist, dass das Server-Zertifikat veraltet ist, was vom Server-Administrator leicht behoben werden kann. Um das Zertifikat zu validieren, muss der Client jedoch ein vertrauenswürdiges Stammzertifikat der ausstellenden Behörde haben, und das, so Sicherheitsspezialist Helme, ist ein Problem für Geräte, die nie aktualisiert werden.

Typischerweise haben Root-Zertifikate zwar eine lange Lebensdauer, z.B. 25 Jahre, aber sie laufen trotzdem ab. Wenn eines dieser Root-Zertifikate in einen Smart TV, einen Kühlschrank oder ein Sicherheitssystem eingebettet ist, hat dies zur Folge, dass die Verbindung abbricht. Und die Benutzer erhalten wenig Hinweise darauf, was schief gelaufen ist.

Paradebeispiel AddTrust-Zertifikat läuft aus

"Dieses Problem wurde vor kurzem, am 30. Mai um 10:48:38 GMT, um genau zu sein, perfekt demonstriert", wird Helme zitiert. "Genau zu dieser Zeit lief dann die AddTrust External CA [Certificate Authority] Root ab und brachte die ersten Anzeichen von Problemen mit sich, auf die ich schon seit einiger Zeit gewartet hatte."


Anzeige

Das Ergebnis war, dass einige Roku-Streaming-Geräte nicht mehr funktionierten und manuell aktualisiert werden mussten. Das Problem bezeichnete das Unternehmen als "global technical certificate expiration". Es gab auch Probleme bei den Zahlungsanbietern Stripe und Spreedly.

"Wir kommen jetzt an einen Punkt, an dem es viele CA-Root-Zertifikate gibt, die in den nächsten Jahren ablaufen. Es ist einfach mehr als 20 Jahre her, dass man mit dem verschlüsselten Web wirklich angefangen hat. Und die 2 Jahrzehnte entsprechen der Lebensdauer eines Root-CA-Zertifikats. Dies wird einige Organisationen in hohem Maße überrascht haben", sagt Helme.

Helme arbeitete bezüglich dieser Frage mit der BBC zusammen. Als die BBC kürzlich ein neues Zertifikat für einen Server ausgestellt bekam, verwendete sie ein CA-Root-Zertifikat aus dem Jahr 2012. Das Problem ist jedoch, dass "das acht Jahre alte Root-CA es immer noch nicht geschafft hat, auf einen bedeutenden Teil der 'intelligenten' Fernseher (Smart TVs) zu gelangen", so Helme. Der Artikel hält noch weitere Beispiele bereit – und Besitzer älterer Android-Geräte oder Mobil-Devices werden ähnliche Überraschungen erleben.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Abgelaufene Zertifikate kicken IoT-Geräte ins Abseits

  1. Paul sagt:

    Wieso gibt es nicht jedes Jahr ein neues root certificat (parallel zum "alten")?
    Das löst das Problem zwar nicht, aber verhindert doch das an vielen Stellen gleichzeitig das Certifikat ausläuft.

    Weil es die CA Geld kostet?

    Last (un-)famous words:
    "Niemand braucht ein Gerät länger als 2 Jahre, schon garnicht der Hersteller"

    • JohnRipper sagt:

      Deswegen:
      Das Problem ist jedoch, dass "das acht Jahre alte Root-CA es immer noch nicht geschafft hat, auf einen bedeutenden Teil der 'intelligenten' Fernseher (Smart TVs) zu gelangen", so Helme.

      • Paul sagt:

        Also es gibt neuere Zertifikate als dieses 8 Jahre alte Teil?
        Und aus Trägheit werden keinen neuen genommen, sondern 20 Jahre alte immer wieder?
        Irgendwie fehlt mir da ein Bit :-))

        • Ralph D. Kärner sagt:

          Nein. Die Hersteller kriegen es nicht einmal gebacken, ein Zertifikat, dass so schon 8 Jahre existiert, auf ihren Geräten installiert zu bekommen, bevor sie ihren Schrott an Dich und mich verkaufen. Jetzt deutlicher? :-)

          Ich musste das jetzt einfach mal los werden, auch wenn ich 3 Jahre später dran bin als der Rest hier.

  2. Tom sagt:

    "Willkommen in der ach so tollen IoT-Welt" ;-)

    [Aluhut]
    Ihre Daten sind sicher!
    [/Aluhut]

  3. Nobody sagt:

    "Internet of Trouble (IoT)" 👍 😀

  4. Micha sagt:

    Auf dem Kühlschrank kann man lesen das er 10 Jahre Garantie auf die Kühlfunktion hat. Solange sollte es dann auch mindestens Softwareupdates geben.

    Zertifikate sollten durch die Hersteller regelmäßig aktualisiert werden. Selbst Microsoft bekommt das hin.

    https://support.microsoft.com/de-de/help/3004394/support-for-urgent-trusted-root-updates-for-windows-root-certificate-p

  5. Ralf sagt:

    Der Hersteller kann noch so viel unternehmen die Zertifikate auf die Geräte zu bekommen, wenn der Anwender nicht mitspielt funktioniert das nicht. Geräte nicht online obwohl SMART, User drückt Meldungen immer wieder weg. Zwangsupdates können auch nach hinten losgehen, egal wie man es macht, es ist verkehrt :-)

    Problem an der Stelle, es müsste für jedes Gerät so etwas wie eine Fallback URL geben, wo ohne großen Probleme die aktuellsten Zertifikate heruntergeladen und installiert werden könnten, für den worst case.
    Der User sollte dann nur einen Knopf oder Schaltfläche mit Zertifikate erneuern drücken und das System würde sich "reparieren"

Schreibe einen Kommentar zu Ralf Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.