Десятки тысяч «хромбуков» по всему миру перестали работать после обновления ПО
После обновления Chrome OS до 56 версии десятки тысяч хромбуков отказались выполнить вход в систему. Как выяснилось, протокол TLS 1.3, который используется по умолчанию в последней версии Google Chrome, конфликтует с защитным ПО компании Symantec.
Катастрофическое обновление Chrome OS
Множество хромбуков перестало работать после того, как Google обновила операционную систему Chrome OS до 56 версии. Устройства не смогли выполнить вход в систему. Одновременно с этим многие ПК, на которых установлен браузер Google Chrome, после его обновления до 56 версии потеряли доступ к интернету. Проблема заключается в том, что с последним обновлением Google конфликтует защитное решение компании BlueCoat, которая была приобретена Symantec в августе 2016 г.
Количество пораженных устройств исчисляется «десятками тысяч», сообщает ресурс ZDnet. Издание приводит в качестве примера школы округа Монтгомери, штат Мэриленд, США. Совокупно эти школы используют примерно 120 тыс. хромбуков и в несколько раз большее количество ПК, на которых уставлен Google Chrome. После обновления до 56 версии, более 30% школьных хромбуков не смогли выполнить вход в систему, а часть ПК потеряла доступ к интернету. Отметим, что хромбуки, которые позиционируются как ПК для образовательных целей, очень популярны в школах разных стран.
Технические причины
Средство сетевой защиты BlueCoat предназначено для обеспечения безопасного доступа к интернет-ресурсам. Решение защищает от различных сетевых угроз, в частности, программ-шпионов, фишинговых сайтов, P2P-трафика и нежелательного контента. BlueCoat позволяет ограничить некоторым категориям пользователей – например, детям – доступ к ряду ресурсов, что делает это ПО востребованным в школах.
BlueCoat представляет собой веб-прокси, которая контролирует канал связи по принципу «человек посередине» (MitM). Программа использует технологию ProxySG для проверки шифрования контента по протоколам SSL и транспортного уровня (TLS). При этом BlueCoat не поддерживает последнюю версию протокола TLS 1.3.
TLS 1.3 отличается от TLS 1.2 тем, что блокирует дополнительные виды атак и обеспечивает более быстрое соединение. Скорость выполнения запроса возрастает за счет того, что его маршрут сокращается на один цикл. В результате веб-страница загружается на 20% быстрее, чем в прежних версиях протокола.
TLS 1.3 уже поддерживается такими браузерами как Mozilla Firefox, Google Chrome и Opera. Microsoft и Apple внедряют возможность работы с новым протоколом в Internet Explorer 11, Edge и Safari. Последние обновления продуктов Google расширили поддержку TLS 1.3, в частности, сделали его протоколом по умолчанию, в результате чего и возник конфликт с защитным решением от Symantec.
Google и Mozilla сообщали ранее, что предвидят возникновение проблем при повсеместном внедрении TLS 1.3, поскольку результаты проверок различных вендоров на предмет поддержки TLS пока что неутешительны. Многие продукты для антивирусной и сетевой защиты отменяют или дешифруют TLS-сессию, запущенную клиентом, анализируют содержащийся внутри HTTP-текст, а потом заново устанавливают соединение с заданным сайтом. При этом сертификаты безопасности оцениваются неправильно, что может приводить к сбоям в работе защитных систем.
Некоторые решения для сетевой защиты, в том числе BlueCoat, просто выдают сбой в работе, когда сталкиваются с TLS 1.3. Например, когда Google Chrome пытается установить соединение по этому протоколу, BlueCoat делает так, что соединение зависает.
Кто виноват и что делать
Проблему можно решить, переключив Google Chrome 56 с протокола TLS 1.3 на TLS 1.2. Для этого нужно использовать комбинацию chrome://flags/#ssl-version-max, которая откроет окно выбора протокола, где следует переставить отметку с «По умолчанию» на «TLS 1.2». Однако это можно сделать только вручную, и решение будет работать только до конца текущего пользовательского сеанса. Никакого патча, который смог бы одновременно вернуть в норму тысячи хромбуков и ПК, пока нет.
Google предприняла меры для решения проблемы. Компания сделала так, что Google Chrome получает инструкцию перейти с протокола TLS 1.3 на TLS 1.2, как только выходит в сеть. Чтобы это сделать, веб-прокси нужно настроить так, чтобы она не перехватывала TLS-трафик, пока все устройства не обновятся. Хромбуку для этого достаточно просто выйти в сеть, но другому ПК нужно зайти на сайт Google, вроде Gmail, который требует регистрации, а ее у пользователя может и не быть. Компания сообщает, что все Chrome OS 56 или Chrome 56, которые будут установлены сейчас, уже используют по умолчанию TLS 1.2, поэтому должны работать нормально с любыми защитными решениями. Протокол TLS 1.3 будет вновь установлен по умолчанию даже на в 57-ой версии Google Chrome, которая скоро выйдет, а в 58-ой.
В массовом отказе хромбуков Google винит исключительно BlueCoat, утверждая, что разработчики были поставлены в известность об использовании TLS 1.3 несколько месяцев назад, но не протестировали свой продукт, как предписывала инструкция. Symantec сообщила, что «была извещена о возможных проблемах с TLS 1.3 на некоторых устройствах», и сейчас расследует происшествие.