Vir 'n blaaier om 'n webwerf te verifieer, bied dit homself met 'n geldige sertifikaatketting. 'n Tipiese ketting word hierbo getoon, en daar kan meer as een intermediêre sertifikaat wees. Die minimum aantal sertifikate in 'n geldige ketting is drie.
Die wortelsertifikaat is die hart van die sertifikaatowerheid. Dit is letterlik in jou bedryfstelsel of blaaier ingebou, dit is fisies teenwoordig op jou toestel. Dit kan nie vanaf die bedienerkant verander word nie. 'n Geforseerde opdatering van die bedryfstelsel of firmware op die toestel word vereis.
Sekuriteitspesialis Scott Helme , dat die hoofprobleme met die Let's Encrypt-sertifiseringsowerheid sal opduik, want vandag is dit die gewildste CA op die internet, en sy wortelsertifikaat sal binnekort sleg gaan. Verander die Kom ons Enkripteer-wortel .
Die eind- en tussensertifikate van die sertifiseringsowerheid (CA) word vanaf die bediener aan die kliënt gelewer, en die wortelsertifikaat is van die kliënt het reeds, so met hierdie versameling sertifikate kan 'n mens 'n ketting bou en 'n webwerf staaf.
Die probleem is dat elke sertifikaat 'n vervaldatum het, waarna dit vervang moet word. Byvoorbeeld, vanaf 1 September 2020 beplan hulle om 'n beperking in te stel op die geldigheidstydperk van bediener TLS-sertifikate in die Safari-blaaier .
Dit beteken dat ons almal ons bedienersertifikate ten minste elke 12 maande sal moet vervang. Hierdie beperking is slegs van toepassing op bedienersertifikate; dit geen van toepassing op wortel CA-sertifikate.
CA-sertifikate word deur 'n ander stel reëls beheer en het dus verskillende geldigheidsperke. Dit is baie algemeen om tussensertifikate met 'n geldigheidstydperk van 5 jaar en wortelsertifikate met 'n dienslewe van selfs 25 jaar te vind!
Daar is gewoonlik geen probleme met intermediêre sertifikate nie, want dit word aan die kliënt verskaf deur die bediener, wat self sy eie sertifikaat baie meer gereeld verander, so dit vervang eenvoudig die intermediêre een in die proses. Dit is redelik maklik om dit saam met die bedienersertifikaat te vervang, anders as die wortel CA-sertifikaat.
Soos ons reeds gesê het, is die wortel-CA direk in die kliënttoestel self ingebou, in die bedryfstelsel, blaaier of ander sagteware. Die verandering van die wortel-CA is buite die webwerf se beheer. Dit vereis 'n opdatering op die kliënt, of dit nou 'n bedryfstelsel of sagteware-opdatering is.
Sommige wortel-CA's bestaan al baie lank, ons praat van 20-25 jaar. Binnekort sal van die oudste wortel-CA's die einde van hul natuurlike lewe nader, hul tyd is amper verby. Vir die meeste van ons sal dit glad nie 'n probleem wees nie, want CA's het nuwe wortelsertifikate geskep en hulle is al vir baie jare oor die wêreld versprei in OS en blaaieropdaterings. Maar as iemand baie lank nie hul bedryfstelsel of blaaier opgedateer het nie, is dit soort van 'n probleem.
Hierdie situasie het op 30 Mei 2020 om 10:48:38 GMT plaasgevind. Dit is die presiese tyd wanneer van die Comodo-sertifiseringsowerheid (Sectigo).
Dit is gebruik vir kruisondertekening om versoenbaarheid te verseker met verouderde toestelle wat nie die nuwe USERTrust-wortelsertifikaat in hul winkel het nie.
Ongelukkig het probleme nie net in verouderde blaaiers ontstaan nie, maar ook in nie-blaaierkliënte gebaseer op OpenSSL 1.0.x, LibreSSL en . Byvoorbeeld, in set-top bokse , diens , in Fortinet, Chargify-toepassings, op die .NET Core 2.0-platform vir Linux en .
Daar is aanvaar dat die probleem slegs verouderde stelsels (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, ens.) sou raak, aangesien moderne blaaiers die tweede USERTRust-wortelsertifikaat kan gebruik. Maar in werklikheid het mislukkings begin in honderde webdienste wat die gratis OpenSSL 1.0.x- en GnuTLS-biblioteke gebruik het. 'n Veilige verbinding kon nie meer tot stand gebring word met 'n foutboodskap wat aandui dat die sertifikaat verouderd is nie.
Volgende - Kom ons enkripteer
Nog 'n goeie voorbeeld van die komende wortel-CA-verandering is die Let's Encrypt-sertifikaatowerheid. Meer hulle het beplan om van die Identrust-ketting na hul eie ISRG Root-ketting oor te skakel, maar dit .
"Weens kommer oor die gebrek aan aanvaarding van die ISRG-wortel op Android-toestelle, het ons besluit om die inheemse worteloorgangsdatum van 8 Julie 2019 na 8 Julie 2020 te skuif," het Let's Encrypt in 'n verklaring gesê.
Die datum moes uitgestel word weens 'n probleem genaamd "wortelvoortplanting", of meer presies, die gebrek aan wortelvoortplanting, wanneer die wortel-CA nie baie wyd oor alle kliënte versprei is nie.
Let's Encrypt gebruik tans 'n kruisondertekende tussenliggende sertifikaat wat aan die IdenTrust DST Root CA X3 geketting is. Hierdie wortelsertifikaat is in September 2000 uitgereik en verval op 30 September 2021. Tot dan beplan Let's Encrypt om na sy eie self-ondertekende ISRG Root X1 te migreer.
ISRG-wortel vrygestel op 4 Junie 2015. Hierna het die proses van sy goedkeuring as 'n sertifiseringsowerheid begin, wat geëindig het . Van hierdie punt af was die wortel-CA beskikbaar vir alle kliënte deur 'n bedryfstelsel of sagteware-opdatering. Al wat jy moes doen, was om die opdatering te installeer.
Maar dit is die probleem.
As jou selfoon, TV of ander toestel vir twee jaar nie opgedateer is nie, hoe sal dit van die nuwe ISRG Root X1-wortelsertifikaat weet? En as jy dit nie op die stelsel installeer nie, sal jou toestel alle Let's Encrypt-bedienersertifikate ongeldig maak sodra Let's Encrypt oorskakel na 'n nuwe wortel. En in die Android-ekosisteem is daar baie verouderde toestelle wat lanklaas opgedateer is.
Android-ekosisteem
Dit is hoekom Let's Encrypt vertraag het om na sy eie ISRG-wortel te skuif en steeds 'n intermediêre gebruik wat afgaan na die IdenTrust-wortel. Maar die oorgang sal in elk geval gemaak moet word. En die datum van wortelverandering word toegeken .
Maak die toetswebwerf oop om seker te maak dat ISRG X1-wortel op jou toestel geïnstalleer is (TV, set-top box of ander kliënt). . As daar geen sekuriteitswaarskuwing verskyn nie, is alles gewoonlik in orde.
Let's Encrypt is nie die enigste een wat die uitdaging in die gesig staar om na 'n nuwe wortel te migreer nie. Kriptografie op die internet het 'n bietjie meer as 20 jaar gelede begin gebruik word, so dit is nou die tyd wanneer baie wortelsertifikate op die punt staan om te verval.
Eienaars van slim-TV's wat vir baie jare nie die Smart TV-sagteware opgedateer het nie, kan hierdie probleem ondervind. Byvoorbeeld, die nuwe GlobalSign-wortel is in 2012 vrygestel, en na 'n paar ou Smart TV's kan nie 'n ketting daaraan bou nie, want hulle het eenvoudig nie hierdie wortel-CA nie. Hierdie kliënte kon veral nie 'n veilige verbinding met die bbc.co.uk webwerf bewerkstellig nie. Om die probleem op te los, moes BBC-administrateurs 'n truuk gebruik: hulle deur bykomende intermediêre sertifikate, met behulp van ou wortels и , wat nog nie vrot geword het nie.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Intermediêr) GlobalSign Root CA - R5 (Intermediêr) GlobalSign Root CA - R3 (Intermediêr)
Dit is 'n tydelike oplossing. Die probleem sal nie verdwyn tensy jy die kliëntsagteware opdateer nie. 'n Slim-TV is in wese 'n rekenaar met beperkte funksionaliteit wat Linux gebruik. En sonder opdaterings sal sy wortelsertifikate onvermydelik vrot word.
Dit geld vir alle toestelle, nie net TV's nie. As jy enige toestel het wat aan die internet gekoppel is en wat as 'n "slim" toestel geadverteer is, dan is die probleem met vrot sertifikate amper seker daaroor. As die toestel nie opgedateer word nie, sal die wortel CA-winkel mettertyd verouderd raak en uiteindelik sal die probleem opduik. Hoe gou die probleem voorkom, hang af van wanneer die wortelwinkel laas opgedateer is. Dit kan 'n paar jaar voor die werklike vrystellingsdatum van die toestel wees.
Terloops, dit is die probleem waarom sommige groot mediaplatforms nie moderne geoutomatiseerde sertifikaatowerhede soos Let's Encrypt kan gebruik nie, skryf Scott Helme. Hulle is nie geskik vir slim-TV's nie, en die aantal wortels is te klein om sertifikaatondersteuning op verouderde toestelle te waarborg. Andersins sal TV eenvoudig nie moderne stromingsdienste kan begin nie.
Die jongste voorval met AddTrust het getoon dat selfs groot IT-maatskappye nie daarop voorbereid is dat die wortelsertifikaat verval nie.
Daar is net een oplossing vir die probleem - update. Ontwikkelaars van slimtoestelle moet vooraf 'n meganisme verskaf vir die opdatering van sagteware en wortelsertifikate. Aan die ander kant is dit nie winsgewend vir vervaardigers om die werking van hul toestelle te verseker nadat die waarborgtydperk verstryk het nie.
Bron: will.com