Het verlopen van het verouderde digitale root-beveiligingscertificaat DST Root CA X3 van Let's Encrypt zorgde voor storingen en foutmeldingen voor enkele miljoenen gebruikers. Een onbekend aantal diensten, websites en apps werd niet op tijd van een nieuw certificaat voorzien.
Veel techbedrijven hadden op 30 september last van storingen omdat Let's Encrypt's IdentTrust DST Root CA X3-certificaat verlopen was. Na het vooraf aangekondigde verlopen van het certificaat waren uiteenlopende services, browsers, games, websites en apps naar schatting tijdelijk voor miljoenen gebruikers niet toegankelijk of functioneerden niet meer goed of veilig. In het ergste geval konden apparaten zelfs geen verbinding met het internet meer maken.
De precieze omvang van het incident is niet bekend. Vooral oudere apparaten als de PlayStation 4 en Android 7.1.1-smartphones zouden door connectieproblemen getroffen zijn, zeker wanneer het bijbehorende besturingssysteem of de firmware al een tijdje niet geüpdatet was. Beveiligingsexpert Scott Helme waarschuwde een week geleden al voor de problemen. Hij zegt tegen ZDnet dat hij op vrijdag inderdaad verschillende diensten met storingen zag. Een precieze omvang noemt hij niet. Onder andere Shopify en Heroku beschrijven op hun statuspagina's dat ze recent aan het certificaat gerelateerde storingen hebben opgelost. Helme noemt ook Bluecoat, Cisco Umbrella, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League, InstaPage en Ledger.
Honderden miljoenen websites wereldwijd gebruiken door Let's Encrypt uitgegeven certificaten voor een beveiligde https-verbinding. Doorgaans bereiden bedrijven zich ruimschoots voor het verlopen van essentiële digitale certificaten voor op een dergelijk moment. Omdat er in een korte tijd intermediate- en root-certificaten verliepen, zijn veel servers, browsers en besturingssystemen niet op tijd geüpdatet, zo legt Let's Encrypt-topman Josh Aas tegenover TechRadar uit.
De non-profitorganisatie Let's Encrypt is 's werelds grootste certificaatautoriteit en schreef in de afgelopen jaren ruim 2 miljard digitale certificaten uit. Het DST Root CA X3-certificaat werd in samenwerking met IdentTrust uitgeschreven en zorgt voor een versleutelde connectie. Ondertussen moeten alle voorheen op DST Root CA X3 rustende services overgestapt zijn op IdenTrust Commercial Root CA 1 om zonder problemen te blijven functioneren.