根凭证过期造成Roku、Stripe及Spreedly等众多服务停摆，专家预期更多案例将接踵而来

今年的5月30日，串流装置制造商Roku、支付业者Stripe与Spreedly、云端储存服务SugarSync等数十种服务，都在同一个时间停摆，一开始这些业者都不知其所以然，调查后才发现原来是Sectigo所颁发的根凭证AddTrust External CA Root在当天过期了，凭证暨资安专家Scott Helme警告，最近几年将会有更多的根凭证陆续到期，各种连网服务或是装置，都可能因此受到波及。

当连网装置或服务都选择采用加密传输通讯之际，凭证就是用来确认客户端与服务器端身份的数位证明，由凭证机构（CA）负责颁发根凭证（Root Certificate），根凭证负责签署中间凭证（Intermediate Certificate），再以中间凭证来签发终端实体凭证（End-Entity Certificate）。这些凭证都是有寿命的，通常根凭证的年限可长达20到25年，中间凭证为5年，而终端实体凭证最短则是1年。

由于根凭证为信任链的起点，而且部署程序既复杂又费时，因此通常被直接嵌在各种装置的操作系统，及浏览器的凭证储存区（Certificate Store），也许是个人电脑、手机、平板电脑、智慧电视、其它IoT装置，或者是各式应用的客户端程式。而中间凭证或实体凭证，则是位于这些装置与服务所要存取的服务器上，当装置要连结采用TLS的服务器时，服务器就会传送自己的中间凭证与实体凭证，收到这些凭证的装置则会把它们与所储存的根凭证进行比对，确认此一凭证串炼（Certificate Chain）的关系。

简单地说，服务器所回传的中间凭证与实体凭证，必须源自于装置上所存放的根凭证。使用者所连结的服务或应用服务器通常是定期更新的，通常也会同步更新凭证，而不致于让凭证过期，然而，许多装置或客户端程式却不见得会定期更新，造成根凭证过期而无法连结服务器，出现“此网站的安全性凭证有问题”等错误讯息。

Roku即表示，因全球技术凭证过期，导致Roku平台上仰赖该凭证的部分串流频道无法正常运作；Spreedly也说，根凭证的过期影响了特定的API与客户端应用，特别是OpenSSL与cURL。

Helme指出，其实BBC最近也遭遇了类似的问题，BBC的串流服务已经采用了由最新的GlobalSign R5 Root根凭证，所颁发的中间凭证及实体凭证，但却有不少智慧电视内建的是过期或旧版的GlobalSign根凭证，并不支援最新的GlobalSign R5 Root，使得BBC的串流程式在这些电视上完全无法运作。

BBC无法替这些电视升级系统，不过BBC找到了对策，透过根凭证之间的交互签名（Cross-Signed ）所产生的中间凭证，来签发实体凭证，让GlobalSign R5 Root所签署的中间凭证，以及智慧电视支援的GlobalSign R1 Root所签署的中间凭证，共同替BBC网站的实体凭证背书，建立另一个信任途径。

不过，Helme认为，过期根凭证的问题依然存在，BBC可能很快又得解决GlobalSign R1 Root过期的问题，而且不只是智慧电视，老旧的Android装置或是其它缺乏更新管道的IoT装置，也许在不久的将来就会面临同样的问题。这是因为从加密网络兴起迄今，已经超过20年了，意味着有大量的根凭证会在这几年陆续到期，最近的一次可能就是即将于明年9月30日过期的IdenTrust DST Root CA X3，由于该根凭证非常的热门，更与免费的Let\'s Encrypt交互签名，预期会带来更明显的影响。