Getty Images
Po tři dny opravovali správci systému chyby, které uživatelům Windows bránily spouštět aplikace jako QuickBooks a Avatax. Nyní známe příčinu: neohlášená změna nebo závada společnosti Microsoft, která odstranila kdysi široce používaný digitální certifikát ve Windows.
Odebrané pověření je známé jako kořenový certifikát, což znamená, že ukotvuje důvěru stovek nebo tisíců následných zprostředkujících a jednotlivých certifikátů. Kořenový certifikát – se sériovým číslem 18dad19e267de8bb4a2158cdcc6b3b4a a otiskem palce SHA1 4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5 – již nebyl v systému Windows důvěryhodný. Vzhledem k tomu, že tento kořenový adresář byl propojen s certifikáty, které potvrzují jeho pravost a důvěryhodnost, lidé, kteří se snaží aplikaci použít nebo nainstalovat, obdrží chybu.
Jen několik minut před zveřejněním tohoto příspěvku výzkumníci zjistili, že certifikát byl obnoven ve Windows. Není jasné, jak a proč k tomu došlo. Certifikát bezprostředně pod tímto odstavcem ukazuje stav certifikátu ke čtvrtku. Níže je uveden stav v pátek.
V té době byly certifikáty Symantec zakázány na internetu
Microsoft zatím neodpověděl na žádost o vysvětlení chyb. Je možné, že závada způsobila, že systém Windows odstranil kořenový certifikát. Je také možné, že odstranění bylo úmyslné, protože je jedním z několika, které čelily celoodvětvovému uzamčení po zjištění v roce 2015, že jeho tehdejší kontrolující vydavatel, Symantec, nesprávně vydal certifikáty pro google.com , www.google.com a další doména. (Symantec v roce 2017 prodal svou činnost certifikačních autorit (CA) společnosti DigiCert.)
Poté, co výzkumníci Google o několik týdnů později tvrdili, že počet chybně vydaných certifikátů je mnohem vyšší, Symantec revidoval počet na 164 certifikátů pro 76 domén a 2 458 certifikátů pro domény, které nebyly nikdy zaregistrovány. Ve světle nových informací dal Google společnosti Symantec ultimátum: poskytněte úplný přehled o jejím problematickém procesu certifikační autority nebo riskujte, že nejpopulárnější světový prohlížeč Chrome bude vydávat hrozivá varování o certifikátech společnosti Symantec. kdykoli koncoví uživatelé navštíví stránky zabezpečené HTTPS která je používala. Zhruba o 17 měsíců později společnost Google tuto hrozbu napravila poté, co její vyšetřování zjistilo, že certifikační autority vlastněné společností Symantec v průběhu let nesprávně vydaly více než 30 000 certifikátů. Společnost zahájila přípravy na postupné ukončení důvěry Chrome ve všechny certifikáty vydané těmito CA, které byly prodávány pod obchodními názvy jako Verisign, Thawte a GeoTrust. S okamžitou platností v tomto okamžiku Chrome přestal rozpoznávat jakýkoli stav rozšířeného ověření takových certifikátů a jak čas plynul, prohlížeč stále více odvolával svou důvěru.
Nesprávně vydané certifikáty představují kritickou hrozbu pro prakticky celou internetovou populaci; umožňují držitelům kryptograficky se vydávat za dotčené webové stránky a sledovat nebo manipulovat s komunikací zasílanou mezi návštěvníky a legitimními servery. Zejména certifikáty pro neexistující domény nebo domény patřící jiným stranám než držiteli jsou závažným porušením tzv. základních požadavků, které hlavní výrobci prohlížečů kladou na CA jako podmínku pro důvěryhodnost jejich softwaru.
Prohřešky Symantecu byly vážné. Ale vzhledem k tehdejšímu postavení Symantecu jako jednoho z největších emitentů certifikátů byl Google a další zainteresované strany v těžké situaci. Pokud by Google nebo jiní výrobci prohlížečů přes noc zrušili všechny certifikáty vydané Symantecem, způsobilo by to rozsáhlé výpadky. Výsledný chaos způsobil, že emitent byl příliš velký na to, aby selhal. Sankce popsané společností Google byly určeny k minimalizaci takovýchto narušení a zároveň k uložení významného trestu.
Během následujících dvou let výrobci prohlížečů a další společnosti, které spoléhají na digitální certifikáty pro zabezpečení internetové komunikace, postupně přestali spoléhat na certifikáty. Většina časových plánů požadovala termín do roku 2019. Z důvodů, které Microsoft dosud nevysvětlil, se Windows i nadále při podepisování softwaru spoléhaly na kořenové certifikáty.
Tato důvěra byla nakonec v úterý odvolána – nebo alespoň pozastavena – opět bez vysvětlení nebo upozornění. Tato změna způsobila, že správci systému se pokoušeli určit, proč uživatelé dostávají chyby certifikátů při pokusu o spuštění softwaru, jako jsou QuickBooks a AvaTax. Nakonec generální ředitel bezpečnostní společnosti Airlock Digital připsal příčinu neohlášené změně ve Windows.
Zástupce Microsoftu nabídl, že se k tomuto příběhu vyjádří pod podmínkou, že tyto informace nebudou žádným způsobem připisovány společnosti Microsoft. Ars odmítl.
Je pravděpodobné, že Microsoft zpozdil odvolání certifikátu pro účely podepisování aplikací, protože certifikáty v aplikacích nelze aktualizovat tak snadno jako na webech. Bez vedení společnosti jsou lidé, kteří řeší chybové zprávy, ponecháni sami sobě.
Jednou z možností řešení problémů je aktualizace dotčených aplikací. Většina aplikací již byla pravděpodobně aktualizována tak, aby používala certifikáty, které nesouvisí s těmi blokovanými. Ve výchozím nastavení má systém Windows zapnutou funkci označovanou jako automatické aktualizace kořenového adresáře. Někteří uživatelé jej z různých důvodů deaktivují, mnoho z nich je legitimních. Výše uvedené vlákno Reddit také poskytuje několik skriptů, které mohou lidé spustit, aby otočili kořenový certifikát.