Páginas da internet sofrem instabilidade após certificado raiz expirar

Alguns usuários, que fazem uso de dispositivos antigos para acessar a internet, estão relatando problemas durante a última quinta (30) por conta da expiração de um certificado de segurança fornecido pela Let’s Encrypt, uma das maiores empresas de certificados HTTPS do mundo.

• Atualizações de sistemas e senhas fortes podem impedir 60% dos ataques virtuais
• Uso de sistemas de segurança de código aberto aumentou 61% desde 2019
• Malware de Android se espalha a partir de falsas atualizações de segurança

Foi por volta das 11 da manhã, horário de Brasilia, que o certificado raiz IdentTrust DST Root CA X3 expirou. Ele permitia a conexão de celulares e computadores antigos, sem atualizações nos últimos cinco anos, de forma segura em sites que faziam uso dele.

Os certificados raiz servem como uma chave de link entre um dispositivo, seja um telefone celular ou computador, e a internet. Eles são um elemento que garante que as conexões sejam seguras e criptografadas.

Os sites que faziam uso do certificado foram avisados com antecedência que ele iria expirar em 30 de setembro, porém, mesmo assim, vários usuários não estão acessar alguns sites após a data.

O site ZDNET confirmou que as seguintes páginas foram afetados. Frisamos que potencialmente há mais endereços afetados, mas que não foram identificados ainda:

• Palo Alto
• Bluecoat
• Cisco Umbrella
• Catchpoint
• Guardian Firewall
• Monday.com
• PFsense
• Google Cloud Monitoring
• Azure Application Gateway
• OVH
• Auth0
• Shopify
• Xero
• QuickBooks
• Fortinet
• Heroku
• Rocket League
• InstaPage
• Ledger
• Netlify
• Cloudflare Pages

Alguns dos sites afetados alertaram os usuários sobre possíveis problemas a partir da data de expiração do certificado. Serviços como o Fortinet falaram para o portal ZDNET que já estão sabendo do problema e que estão providenciando soluções temporárias para usuários com dispositivos antigos que usam os serviços da plataforma.

Um levantamento do site TechCrunch mostrou que dispositivos que podem ser afetados pela expiração do certificado IdentTrust DST Root CA X3 são os que estão executando sistemas macOS lançados até 2016, Windows XP com o Service Pack 3, consoles de videogames lançados antes de 2016 e que não estejam recebendo atualizações de firmware e qualquer ferramenta que precise do OpenSSL 1.0.2 para funcionar. Dispositivos com Android 7.1.1 ou anterior também terão problemas por conta do certificado expirado.

Prevenindo problemas com certificados

Tim Callan, especialista em certificados digitais, explicou para matéria no portal ZDNET que todos os sistemas digitais modernos, até mesmo os de segurança, necessitam de certificados para funcionar.

Callan afirma que as consequências da expiração de um certificado podem ser tão variadas quanto os sistemas que fazem uso dele, e no caso onde falhas de acesso ocorrem, outros sistemas relacionados podem ser afetados, mesmo que não façam uso daquele certificado em específico.

O especialista em certificados sugere, como forma de prevenção, que empresas chequem quais certificados os seus sistemas estão usando e quais eles têm suporte. Assim, elas poderão identificar onde possíveis falhas de acesso podem ocorrer no futuro e estar preparadas, evitando que situações como a criada pelo IdentTrust DST Root CA X3 ocorram.

Fonte: ZDNET, TechCrunch