En række rodcertifikater udløber i år, og det kan medføre, at enheder og systemer stopper med at virke, fordi der mangler et gyldigt certifikat til at signere sikker kommunikation mellem eksempelvis en IoT-enhed og en server.
»Når rodcertifikater udløber, så kan det ske, at hardware i perfekt stand, men hvor firmwaren ikke kan opdateres, stopper med at virke,« siger Alessandro Bruni, lektor ved IT-Universitetet i København.
Et af de certifikater, der udløber i år, er Sectigos AddTrust External CA Root, tidligere kendt som Comodo CA, som bruges i bl.a. browsere, mobiltelefoner og operativsystemer.
»Hvis et system eller en applikation kun stoler på AddTrust External CA Root og ikke de mere moderne Comodo- eller USERTrust-rødder, så vil der opstå fejl efter 30. maj 2020,« skriver Sectigo på sin hjemmeside.
»Enhver applikation eller installation, som er afhængig af certifikatet skal opdateres i maj 2020, hvis risikoen for nedbrud eller fejl skal undgås,« skriver Sectigo.
Sectigo giver selv et par eksempler herunder de ældre Android-versioner 1.5 Cupcake og 2.3 Gingerbread, der begge er afhængige af AddTrust-certifikatet for at virke.
Manglende opdateringer
For de enheder og systemer, der kan opdateres, bør der altså ikke opstå problemer, men det er ikke altid muligt. Det kan skyldes dårligt design eller en begrænset mængde plads og hukommelse på enheden.
Men selv om enheder fortsat virker, så kan det betyde, at de er gået over til at bruge et andet, mere usikkert certifikat til at signere kommunikationen.
»Hvis det sker, så stiger risikoen for, at enheden bliver hacket,« siger Alessandro Bruni.
Denne pointe bliver også fremhævet af Gert Mikkelsen, leder af Security Lab på Alexandra Instituttet, der dog vurderer, at det ikke vil føre til større problemer overordnet set, når rodcertifikaterne udløber.
Han påpeger, at enheder med manglende opdateringer generelt udgør en trussel mod sikkerheden.
»Der kan være særtilfælde, hvor en eller anden IoT-enhed stopper med at virke. Men det er altid et problem IoT-enheder, hvis man ikke kan opdatere softwaren, og så vil jeg mene, at risikoen for andre sikkerhedstrusler (hvis softwareopdateringer udebliver, red.) er større, og enheden risikerer at blive hacket, siger Gert Mikkelsen.
Sectigos AddTrust External CA Root er ikke det eneste certifikat, der udløber i år. Ifølge denne meddelelse på en kryptografi-mailingliste, så findes der fire andre, som i løbet af året vil være ugyldige.
Det er kun lykkedes Version2 at finde frem til det ene fra Sectigo.