አንድ አሳሽ አንድን ድረ-ገጽ እንዲያረጋግጥ፣ እራሱን ከትክክለኛ የምስክር ወረቀት ሰንሰለት ጋር ያቀርባል። አንድ የተለመደ ሰንሰለት ከላይ ይታያል, እና ከአንድ በላይ መካከለኛ የምስክር ወረቀት ሊኖር ይችላል. ተቀባይነት ባለው ሰንሰለት ውስጥ ያለው አነስተኛ የምስክር ወረቀቶች ብዛት ሦስት ነው።

የስር ሰርተፍኬት የምስክር ወረቀት ባለስልጣን ልብ ነው። እሱ በቀጥታ በእርስዎ ስርዓተ ክወና ወይም አሳሽ ውስጥ ነው የተሰራው፣ በመሣሪያዎ ላይ በአካል አለ። ከአገልጋይ ወገን ሊቀየር አይችልም። በመሳሪያው ላይ የስርዓተ ክወና ወይም የጽኑ ትዕዛዝ የግዳጅ ዝማኔ ያስፈልጋል።

የደህንነት ስፔሻሊስት ስኮት Helme ሲል ጽፏል, ዋናዎቹ ችግሮች በእውቅና ማረጋገጫ ባለስልጣን እናመስጥር ባለስልጣን እንደሚነሱ, ምክንያቱም ዛሬ በበይነመረብ ላይ በጣም ታዋቂው CA ነው, እና የስር ሰርተፊኬቱ በቅርቡ መጥፎ ይሆናል. ሩትን እናመስጥርን መለወጥ ለጁላይ 8፣ 2020 ተይዞለታል.

የምስክር ወረቀት ባለስልጣን (ሲኤ) የመጨረሻ እና መካከለኛ የምስክር ወረቀቶች ለደንበኛው ከአገልጋዩ ይደርሳሉ ፣ እና የስር ሰርተፍኬቱ ከደንበኛው ነው ቀድሞውንም አለው, ስለዚህ በዚህ የምስክር ወረቀቶች ስብስብ አንድ ሰንሰለት መገንባት እና ድር ጣቢያ ማረጋገጥ ይችላል.

ችግሩ እያንዳንዱ የምስክር ወረቀት ጊዜው የሚያበቃበት ቀን አለው, ከዚያ በኋላ መተካት ያስፈልገዋል. ለምሳሌ፣ ከሴፕቴምበር 1፣ 2020 ጀምሮ በSafari አሳሽ ውስጥ የአገልጋይ TLS ሰርተፊኬቶችን የሚቆይበትን ጊዜ ገደብ ለማስተዋወቅ አቅደዋል። ከፍተኛው 398 ቀናት.

ይህ ማለት ሁላችንም ቢያንስ በየ12 ወሩ የአገልጋይ ሰርተፊኬቶችን መተካት አለብን ማለት ነው። ይህ ገደብ የአገልጋይ ሰርተፊኬቶችን ብቻ ነው የሚመለከተው፤ እሱ አይደለም የ root CA የምስክር ወረቀቶችን ይመለከታል።

የCA ሰርተፊኬቶች በተለየ የሕጎች ስብስብ የሚተዳደሩ ናቸው ስለዚህም የተለያዩ ተቀባይነት ያላቸው ገደቦች አሏቸው። የ 5 ዓመት የአገልግሎት ጊዜ ያላቸው መካከለኛ የምስክር ወረቀቶች እና የ 25 ዓመታት የአገልግሎት ሕይወት ያላቸው የስር የምስክር ወረቀቶች ማግኘት በጣም የተለመደ ነው!

ብዙውን ጊዜ በመካከለኛ የምስክር ወረቀቶች ላይ ምንም ችግሮች አይኖሩም, ምክንያቱም እነሱ በአገልጋዩ ለደንበኛው ስለሚቀርቡ, እራሱ የእራሱን የምስክር ወረቀት ብዙ ጊዜ ይለውጣል, ስለዚህ በሂደቱ ውስጥ መካከለኛውን በቀላሉ ይተካዋል. ከስር CA ሰርተፍኬት በተለየ ከአገልጋዩ ሰርተፍኬት ጋር መተካት በጣም ቀላል ነው።

ቀደም ብለን እንደተናገርነው, ስርወ CA በቀጥታ በደንበኛው መሣሪያ ውስጥ, በስርዓተ ክወናው, በአሳሽ ወይም በሌላ ሶፍትዌር ውስጥ ነው. ስርወ CA መቀየር ከድር ጣቢያው ቁጥጥር በላይ ነው። ይህ የስርዓተ ክወና ወይም የሶፍትዌር ዝማኔ በደንበኛው ላይ ማሻሻያ ያስፈልገዋል።

አንዳንድ ሥር CAs በጣም ለረጅም ጊዜ ዙሪያ ናቸው, እኛ ስለ 20-25 ዓመታት ማውራት ነው. ብዙም ሳይቆይ አንዳንድ በጣም ጥንታዊዎቹ CAs ወደ ተፈጥሯዊ ሕይወታቸው መጨረሻ ይቀርባሉ፣ ጊዜያቸው አልፎበታል። ለአብዛኞቻችን ይህ ምንም ችግር አይፈጥርም ምክንያቱም CAs አዲስ ስርወ ሰርተፍኬቶችን ስለፈጠሩ እና ለብዙ አመታት በስርዓተ ክወና እና በአሳሽ ማሻሻያ ላይ በዓለም ዙሪያ ተሰራጭተዋል። ነገር ግን አንድ ሰው ስርዓተ ክወናውን ወይም አሳሹን በጣም ረጅም ጊዜ ካላዘመነ፣ ችግር ነው።

ይህ ሁኔታ የተከሰተው በሜይ 30፣ 2020 በ10፡48፡38 ጂኤምቲ ነው። ትክክለኛው ጊዜ ይህ ነው። የ AddTrust ስርወ ሰርቲፊኬት የበሰበሰ ነው። ከኮሞዶ የምስክር ወረቀት ባለስልጣን (ሴክቲጎ).

አዲሱ የUSERTrust ስርወ ሰርተፍኬት በሱቃቸው ውስጥ ከሌላቸው የቆዩ መሳሪያዎች ጋር ተኳሃኝነትን ለማረጋገጥ ለመፈረም ጥቅም ላይ ውሏል።

እንደ አለመታደል ሆኖ ችግሮች የተፈጠሩት በቆዩ አሳሾች ላይ ብቻ ሳይሆን በOpenSSL 1.0.x፣ LibreSSL እና በአሳሽ ባልሆኑ ደንበኞችም ላይ ነው። gnuTLS. ለምሳሌ, በ set-top ሳጥኖች ውስጥ ዓመት, አገልግሎት ሄሮኩ, በ Fortinet, Chargify መተግበሪያዎች, በ NET Core 2.0 መድረክ ላይ ለሊኑክስ እና ሌሎች ብዙ.

ዘመናዊ አሳሾች ሁለተኛውን USERTRust root ሰርተፍኬት መጠቀም ስለሚችሉ ችግሩ የቆዩ ስርዓቶችን (አንድሮይድ 2.3፣ ዊንዶውስ ኤክስፒ፣ ማክ ኦኤስ ኤክስ 10.11፣ አይኦኤስ 9፣ ወዘተ) ብቻ ነው የሚጎዳው ተብሎ ተገምቷል። ግን በእውነቱ፣ ነፃውን የOpenSSL 1.0.x እና GnuTLS ቤተ-መጻሕፍትን በሚጠቀሙ በመቶዎች በሚቆጠሩ የድር አገልግሎቶች ውስጥ ውድቀቶች ተጀምረዋል። ደህንነቱ የተጠበቀ ግንኙነት ከአሁን በኋላ የእውቅና ማረጋገጫው ጊዜው ያለፈበት መሆኑን በሚያሳይ የስህተት መልእክት ሊመሰረት አልቻለም።

ቀጥሎ - እንመስጥር

ሌላው የመጪው ስር CA ለውጥ ጥሩ ምሳሌ እንመስጥር የምስክር ወረቀት ባለስልጣን ነው። ተጨማሪ በኤፕሪል 2019 ከIdentrust ሰንሰለት ወደ ራሳቸው ISRG Root ሰንሰለት ለመቀየር አቅደው ነበር ነገርግን ይህ አልሆነም.

"የ ISRG ስርወ በአንድሮይድ መሳሪያዎች ላይ ተቀባይነት ባለማግኘቱ ስጋት ምክንያት ከጁላይ 8 ቀን 2019 ወደ ጁላይ 8, 2020 ቤተኛ ሽግግር ለማድረግ ወስነናል" በማለት ኢንክሪፕት በሰጠው መግለጫ ተናግሯል።

“ስር ስርጭት” በሚባለው ችግር ወይም በትክክል ስርወ ስርጭት ባለመኖሩ ቀኑ ለሌላ ጊዜ ማስተላለፍ ነበረበት፣ የስር CA ስር በሁሉም ደንበኞች ላይ በስፋት በማይሰራጭበት ጊዜ።

እንመስጥር በአሁኑ ጊዜ ከIdenTrust DST Root CA X3 ጋር በሰንሰለት የተፈረመ መካከለኛ ሰርተፍኬት ይጠቀማል። ይህ የስር ሰርተፍኬት የተሰጠው በሴፕቴምበር 2000 ሲሆን በሴፕቴምበር 30፣ 2021 ጊዜው ያበቃል። እስከዚያ ድረስ፣ በራሱ ወደ ተፈራረመው ISRG Root X1 ለመሰደድ አቅዶን እናመስጥር።

የISRG ሥር በጁን 4፣ 2015 ተለቋል። ከዚህ በኋላ እንደ የምስክር ወረቀት ባለስልጣን የማጽደቁ ሂደት ተጀመረ, እሱም አብቅቷል 6 ነሐሴ 2018 ዓመቶች. ከዚህ ጊዜ ጀምሮ, ስርወ CA ለሁሉም ደንበኞች በስርዓተ ክወና ወይም በሶፍትዌር ማሻሻያ በኩል ይገኛል. ማድረግ ያለብዎት ማሻሻያውን መጫን ብቻ ነው።

ችግሩ ግን ያ ነው።

የእርስዎ ሞባይል ስልክ፣ ቲቪ ወይም ሌላ መሳሪያ ለሁለት አመታት ካልዘመነ፣ ስለ አዲሱ ISRG Root X1 root ሰርቲፊኬት እንዴት ያውቃል? እና በሲስተሙ ላይ ካልጫኑት መሳሪያዎ ሁሉንም እንክሪፕት የአገልጋይ ሰርተፊኬቶችን ልክ እንደ አዲስ ስር እንደቀየረ ይሰርዛል። እና በአንድሮይድ ስነ-ምህዳር ውስጥ ብዙ ጊዜ ያለፈባቸው መሳሪያዎች ለረጅም ጊዜ ያልተዘመኑ ናቸው።

አንድሮይድ ስነ-ምህዳር

ለዚህ ነው ወደ ራሱ ISRG ስር መዘዋወሩን እናመስጥር እና አሁንም ወደ IdenTrust ስር የሚወርድ መካከለኛ ይጠቀማል። ነገር ግን በማንኛውም ሁኔታ ሽግግር መደረግ አለበት. እና የስር ለውጥ ቀን ተመድቧል 8 ሐምሌ 2020 ዓመቶች.

ISRG X1 ስርወ በመሳሪያዎ (ቲቪ፣ set-top box ወይም ሌላ ደንበኛ) ላይ መጫኑን ለማረጋገጥ የሙከራ ጣቢያውን ይክፈቱ። https://valid-isrgrootx1.letsencrypt.org/. ምንም የደህንነት ማስጠንቀቂያ ካልታየ ሁሉም ነገር ብዙውን ጊዜ ጥሩ ነው።

ወደ አዲስ ሥር የመሸጋገር ፈተና የሚያጋጥመው ኢንክሪፕት ብቻ አይደለም። በይነመረብ ላይ ክሪፕቶግራፊ ስራ ላይ መዋል የጀመረው ከ20 አመታት በፊት ነው፣ ስለዚህ አሁን ብዙ ስርወ ሰርተፊኬቶች ጊዜው የሚያበቃበት ጊዜ ነው።

የስማርት ቲቪ ሶፍትዌርን ለብዙ አመታት ያላዘመኑ የስማርት ቲቪዎች ባለቤቶች ይህ ችግር ሊያጋጥማቸው ይችላል። ለምሳሌ፣ አዲሱ GlobalSign root R5 ሥር እ.ኤ.አ. በ 2012 ተለቀቀ ፣ እና ከአንዳንድ አሮጌ ስማርት ቲቪዎች በኋላ ሰንሰለት መገንባት አይችሉም ፣ ምክንያቱም በቀላሉ ይህ ስር CA የላቸውም። በተለይም እነዚህ ደንበኞች ከ bbc.co.uk ድህረ ገጽ ጋር ደህንነቱ የተጠበቀ ግንኙነት መፍጠር አልቻሉም። ችግሩን ለመፍታት የቢቢሲ አስተዳዳሪዎች አንድ ዘዴ መጠቀም ነበረባቸው ለእነዚህ ደንበኞች አማራጭ ሰንሰለት ገንብተናል አሮጌ ሥሮችን በመጠቀም ተጨማሪ መካከለኛ የምስክር ወረቀቶች R3 ሥር и R1 ሥር, ገና ያልበሰበሰ.

www.bbc.co.uk (ቅጠል) GlobalSign ECC OV SSL CA 2018 (መካከለኛ) GlobalSign Root CA - R5 (መካከለኛ) GlobalSign Root CA - R3 (መካከለኛ)

ይህ ጊዜያዊ መፍትሄ ነው። የደንበኛውን ሶፍትዌር ካላዘመኑት ችግሩ አይጠፋም። ስማርት ቲቪ በመሠረቱ ሊኑክስን የሚያስኬድ ውስን ተግባር ያለው ኮምፒውተር ነው። እና ዝማኔዎች ከሌለ የስር ሰርተፍኬቶቹ መበላሸታቸው የማይቀር ነው።

ይሄ ቴሌቪዥኖችን ብቻ ሳይሆን ሁሉንም መሳሪያዎች ይመለከታል። ከበይነመረቡ ጋር የተገናኘ እና እንደ “ብልጥ” መሳሪያ የተለጠፈ መሳሪያ ካለዎት የበሰበሰ የምስክር ወረቀቶች ችግር በእርግጠኝነት ያሳስበዋል። መሣሪያው ካልተዘመነ፣ የስር CA ማከማቻው በጊዜ ሂደት ጊዜው ያለፈበት ይሆናል እና በመጨረሻም ችግሩ ብቅ ይላል። ችግሩ በምን ያህል ፍጥነት እንደሚከሰት የሚወሰነው የስር ማከማቻው በመጨረሻ በተዘመነበት ጊዜ ላይ ነው። ይህ ምናልባት የመሳሪያው ትክክለኛ የተለቀቀበት ቀን ቀደም ብሎ ብዙ ዓመታት ሊሆን ይችላል።

በነገራችን ላይ አንዳንድ ትልልቅ የሚዲያ መድረኮች እንደ Let's Encrypt እንደ ዘመናዊ አውቶሜትድ ሰርተፍኬት ባለስልጣኖችን መጠቀም የማይችሉበት ችግር ይህ ነው ሲል ስኮት ሄልሜ ጽፏል። ለስማርት ቲቪዎች ተስማሚ አይደሉም፣ እና የስርወቹ ቁጥር በጣም ትንሽ ነው በቆዩ መሳሪያዎች ላይ የምስክር ወረቀት ድጋፍ ለመስጠት። ያለበለዚያ ቲቪ በቀላሉ ዘመናዊ የዥረት አገልግሎቶችን መጀመር አይችልም።

ከ AddTrust ጋር ያለው የቅርብ ጊዜ ክስተት እንደሚያሳየው ትላልቅ የአይቲ ኩባንያዎች እንኳን የስር ሰርተፍኬቱ ጊዜው ካለፈበት እውነታ ዝግጁ አይደሉም።

ለችግሩ አንድ መፍትሄ ብቻ ነው - ማዘመን. የስማርት መሳሪያዎች ገንቢዎች ሶፍትዌሮችን እና ስርወ ሰርተፍኬቶችን ለማዘመን የሚያስችል ዘዴ አስቀድመው ማቅረብ አለባቸው። በሌላ በኩል አምራቾች የዋስትና ጊዜው ካለፈ በኋላ የመሳሪያዎቻቸውን አሠራር ማረጋገጥ ትርፋማ አይደለም.

ምንጭ: hab.com