WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Từ 30/9: Hàng triệu thiết bị Android, iOS, Windows mất quyền truy cập Internet
Hàng triệu thiết bị Android, iOS và máy tính Windows sẽ mất quyền truy cập Internet vào ngày 30/9 do chứng chỉ gốc kỹ thuật số IdenTrust DST Root CA X3 từ cơ quan cấp chứng chỉ Let's Encrypt (CA) hết hạn.
Let's Encrypt, một tổ chức phi lợi nhuận, phát hành chứng chỉ kỹ thuật số miễn phí để mã hóa kết nối giữa các thiết bị và internet nhằm bảo vệ dữ liệu khỏi bị đánh chặn trong quá trình truyền tải. Hiện có hàng triệu thiết bị đang sử dụng chứng chỉ Let's Encrypt.
Giờ đây, nhà nghiên cứu bảo mật Scott Helme cho biết chứng chỉ gốc kỹ thuật số IdentTrust DST Root CA X3 hiện đang được Let's Encrypt cấp phép sử dụng sẽ hết hạn vào ngày 30/9, điều này khiến cho nhiều máy tính, thiết bị thông minh và ứng dụng web khách (như trình duyệt) sẽ không thể nhận được chứng chỉ CA này nữa.
Sau khi IdenTrust DST Root CA X3 hết hạn, các thiết bị không nhận được bản cập nhật thường xuyên, cụ thể là các hệ thống nhúng không nhận được bản cập nhật tự động và smartphone có phiên bản phần mềm lỗi thời sẽ gặp sự cố. Đặc biệt, các sự cố sẽ ảnh hưởng đến người dùng phiên bản macOS 10.12.0 trở về trước, Windows XP (với Service Pack 3), thiết bị iOS 10 trở về trước, máy khách dựa trên OpenSSL 1.0.2 trở về trước, PlayStations 3 và 4 với firmware chưa cập nhật, Nintendo 3DS, Ubuntu 16.04 trở về trước, Debian 8 trở về trước, Java 8 đến 8u141, Java 7 đến 7u151 và NSS 3.26 trở về trước.
Có một lưu ý là, mặc dù Android từ lâu đã gặp vấn đề với các bản cập nhật hệ điều hành do thiếu chứng chỉ của Let's Encrypt, tuy nhiên cơ quan này đã đưa ra một cơ chế để giữ an toàn cho hầu hết các smartphone khỏi các vấn đề hết hạn chứng chỉ gốc.
Năm nay, Let's Encrypt đã chuyển sang sử dụng chứng chỉ ISRG Root X1 của riêng mình và chỉ hết hạn vào năm 2035. Trong khi hầu hết các thiết bị Android (đặc biệt là Android Nougat 7.1.1 trở về trước) vẫn không có chứng chỉ này, Let's Encrypt đã cung cấp một chứng chỉ chéo cho chứng chỉ trước đó, nhờ vậy hầu hết các thiết bị Android sẽ hoạt động trơn tru trong ba năm nữa.
Tuy nhiên, một số thiết bị Android vẫn có thể gặp sự cố, do đó Let's Encrypt cảnh báo và khuyến nghị người dùng Android 5.0 (Lollipop) cài đặt Firefox để tạm giải quyết vấn đề.
Let's Encrypt, một tổ chức phi lợi nhuận, phát hành chứng chỉ kỹ thuật số miễn phí để mã hóa kết nối giữa các thiết bị và internet nhằm bảo vệ dữ liệu khỏi bị đánh chặn trong quá trình truyền tải. Hiện có hàng triệu thiết bị đang sử dụng chứng chỉ Let's Encrypt.
Giờ đây, nhà nghiên cứu bảo mật Scott Helme cho biết chứng chỉ gốc kỹ thuật số IdentTrust DST Root CA X3 hiện đang được Let's Encrypt cấp phép sử dụng sẽ hết hạn vào ngày 30/9, điều này khiến cho nhiều máy tính, thiết bị thông minh và ứng dụng web khách (như trình duyệt) sẽ không thể nhận được chứng chỉ CA này nữa.
Sau khi IdenTrust DST Root CA X3 hết hạn, các thiết bị không nhận được bản cập nhật thường xuyên, cụ thể là các hệ thống nhúng không nhận được bản cập nhật tự động và smartphone có phiên bản phần mềm lỗi thời sẽ gặp sự cố. Đặc biệt, các sự cố sẽ ảnh hưởng đến người dùng phiên bản macOS 10.12.0 trở về trước, Windows XP (với Service Pack 3), thiết bị iOS 10 trở về trước, máy khách dựa trên OpenSSL 1.0.2 trở về trước, PlayStations 3 và 4 với firmware chưa cập nhật, Nintendo 3DS, Ubuntu 16.04 trở về trước, Debian 8 trở về trước, Java 8 đến 8u141, Java 7 đến 7u151 và NSS 3.26 trở về trước.
Có một lưu ý là, mặc dù Android từ lâu đã gặp vấn đề với các bản cập nhật hệ điều hành do thiếu chứng chỉ của Let's Encrypt, tuy nhiên cơ quan này đã đưa ra một cơ chế để giữ an toàn cho hầu hết các smartphone khỏi các vấn đề hết hạn chứng chỉ gốc.
Năm nay, Let's Encrypt đã chuyển sang sử dụng chứng chỉ ISRG Root X1 của riêng mình và chỉ hết hạn vào năm 2035. Trong khi hầu hết các thiết bị Android (đặc biệt là Android Nougat 7.1.1 trở về trước) vẫn không có chứng chỉ này, Let's Encrypt đã cung cấp một chứng chỉ chéo cho chứng chỉ trước đó, nhờ vậy hầu hết các thiết bị Android sẽ hoạt động trơn tru trong ba năm nữa.
Tuy nhiên, một số thiết bị Android vẫn có thể gặp sự cố, do đó Let's Encrypt cảnh báo và khuyến nghị người dùng Android 5.0 (Lollipop) cài đặt Firefox để tạm giải quyết vấn đề.
Nguồn: VOV
Chỉnh sửa lần cuối: