በሴፕቴምበር 30 ቀን 17፡01 በሞስኮ ሰአት አቆጣጠር በህብረተሰቡ ቁጥጥር ስር የሚገኘውን እናመስጥር ባለስልጣን (ISRG Root X3) ስርወ ሰርተፍኬትን ለመሻገር ያገለገለው IdenTrust root certificate (DST Root CA X1) የምስክር ወረቀቶችን ለሁሉም ሰው በነጻ ይሰጣል ፣ ጊዜው ያበቃል። ተሻጋሪ ፊርማ የኑ እንክሪፕት ሰርተፍኬቶችን በተለያዩ መሳሪያዎች፣ ኦፕሬቲንግ ሲስተሞች እና አሳሾች ላይ የታመኑ መሆናቸውን ያረጋገጠ ሲሆን የራሱ እናመስጥር የምስክር ወረቀት ከስር ሰርተፍኬት መደብሮች ጋር ተካቷል።
በመጀመሪያ ታቅዶ የነበረው የDST Root CA X3 ከተቋረጠ በኋላ እንክሪፕት ፕሮጄክቱ ስርወ ሰርተፍኬትን ብቻ በመጠቀም ፊርማዎችን ወደማመንጨት እንዲቀየር ታቅዶ ነበር፣ ነገር ግን እንዲህ ያለው እርምጃ ከብዙ አሮጌ ስርዓቶች ጋር ተኳሃኝነትን ወደ ማጣት ይመራዋል እና ካልነበሩ የስር ሰርተፍኬትን እናመስጥርን ወደ ማከማቻቸው ያክሉ። በተለይም በጥቅም ላይ ከሚገኙት አንድሮይድ መሳሪያዎች 30% የሚሆኑት በ7.1.1 መገባደጃ ላይ በተለቀቀው የአንድሮይድ 2016 መድረክ ጀምሮ የታየውን የ root ሰርተፍኬት እናመስጥር ላይ መረጃ የላቸውም።
ኢንክሪፕት እናድርገው አዲስ ፊርማ ስምምነት ለማድረግ አላሰበም ፣ ምክንያቱም ይህ በስምምነቱ ውስጥ ባሉ ተዋዋይ ወገኖች ላይ ተጨማሪ ሃላፊነት ስለሚጥል ፣ ነፃነታቸውን ስለሚነፍጋቸው እና የሌላ የምስክር ወረቀት ባለስልጣን ሁሉንም ሂደቶች እና ህጎች በማክበር እጆቻቸውን ያስራሉ ። ነገር ግን ብዙ ቁጥር ባላቸው የአንድሮይድ መሳሪያዎች ላይ ሊከሰቱ በሚችሉ ችግሮች ምክንያት እቅዱ ተስተካክሏል። ከIdenTrust ሰርተፊኬት ባለስልጣን ጋር አዲስ ስምምነት ተጠናቀቀ፣ በዚህ ማዕቀፍ ውስጥ አማራጭ ተሻጋሪ የተፈረመ እናመስጥር መካከለኛ ሰርተፍኬት ተፈጠረ። የመስቀል ፊርማው ለሶስት ዓመታት የሚሰራ ሲሆን ከስሪት 2.3.6 ጀምሮ ለአንድሮይድ መሳሪያዎች ድጋፍን ያቆያል።
ሆኖም፣ አዲሱ መካከለኛ ሰርተፍኬት ሌሎች ብዙ የቆዩ ስርዓቶችን አያካትትም። ለምሳሌ፣ የDST Root CA X3 ሰርተፍኬት ሴፕቴምበር 30 ሲቋረጥ፣ ሰርተፍኬቶችን እናመስጥርን በማይደገፍ firmware እና ስርዓተ ክወናዎች ላይ በእጅ የISRG Root X1 ሰርተፍኬት ወደ ስርወ ሰርቲፊኬት ማከማቻ ማከል የሚያስፈልጋቸው የምስክር ወረቀቶችን እንክሪፕት እናስመስጥር ከአሁን በኋላ ተቀባይነት አይኖራቸውም። . ችግሮች በሚከተለው ውስጥ ይገለጣሉ-
- ክፍት ኤስኤስኤል እስከ ቅርንጫፍ 1.0.2 አካታች (የቅርንጫፍ 1.0.2 ጥገና በታህሳስ 2019 ተቋርጧል)።
- NSS <3.26;
- ጃቫ 8 <8u141, Java 7 <7u151;
- ዊንዶውስ < XP SP3;
- ማክሮስ <10.12.1;
- iOS <10 (iPhone <5);
- አንድሮይድ <2.3.6;
- ሞዚላ ፋየርፎክስ <50;
- ኡቡንቱ <16.04;
- ዴቢያን < 8.
በOpenSSL 1.0.2 ላይ ችግሩ የተፈጠረው ሌሎች ትክክለኛ የሆኑ የእምነት ሰንሰለቶች ቢቀሩም አንዱ ለመፈረም ጥቅም ላይ የሚውለው ስርወ ሰርተፍኬት ካለቀ በመስቀል የተፈረሙ የምስክር ወረቀቶች በትክክል እንዳይሰሩ በሚከለክለው ስህተት ነው። ችግሩ ለመጀመሪያ ጊዜ የወጣው ባለፈው ዓመት የሴክቲጎ (ኮሞዶ) የምስክር ወረቀት ባለስልጣን የምስክር ወረቀቶችን ለመፈረም ጥቅም ላይ የዋለው የAdTrust ሰርተፍኬት ጊዜ ያለፈበት ከሆነ በኋላ ነው። የችግሩ ዋና ነገር OpenSSL የምስክር ወረቀቱን እንደ መስመራዊ ሰንሰለት መተንተኑ ነው፣ ነገር ግን በ RFC 4158 መሠረት፣ ሰርተፍኬት ብዙ የታመኑ መልህቆችን ከግምት ውስጥ ማስገባት ያለባቸውን የተከፋፈለ ክብ ግራፍ ሊወክል ይችላል።
በOpenSSL 1.0.2 ላይ የተመሰረቱ የቆዩ ስርጭቶች ተጠቃሚዎች ችግሩን ለመፍታት ሶስት መፍትሄዎችን ይሰጣሉ፡-
- የIdenTrust DST Root CA X3 ስርወ ሰርተፍኬትን በእጅ አስወግዶ ብቻውን (የተሻገረ ያልሆነ) ISRG Root X1 ስርወ ሰርተፍኬት ጭኗል።
- የ openssl አረጋግጥን እና የs_client ትዕዛዞችን በሚያሄዱበት ጊዜ፣ “--ታመነ_መጀመሪያ” የሚለውን አማራጭ መግለጽ ይችላሉ።
- ተሻጋሪ ፊርማ የሌለው በተለየ የስር ሰርተፍኬት SRG Root X1 የተረጋገጠ የምስክር ወረቀት በአገልጋዩ ላይ ይጠቀሙ። ይህ ዘዴ ከአሮጌ አንድሮይድ ደንበኞች ጋር ተኳሃኝነትን ወደ ማጣት ያመራል።
በተጨማሪም፣ እናስመስጥር የተባለው ፕሮጀክት የሁለት ቢሊዮን የምስክር ወረቀቶችን የድል ምዕራፍ ማለፉን ልብ ልንል እንችላለን። ባለፈው አመት የካቲት ወር ላይ አንድ ቢሊዮን እመርታ ላይ ደርሷል። በየቀኑ 2.2-2.4 ሚሊዮን አዳዲስ የምስክር ወረቀቶች ይወጣሉ. የነቁ ሰርተፊኬቶች ብዛት 192 ሚሊዮን (የእውቅና ማረጋገጫው ለሦስት ወራት የሚሰራ ነው) እና ወደ 260 ሚሊዮን ጎራዎችን ይሸፍናል (195 ሚሊዮን ጎራዎች ከአንድ ዓመት በፊት ተሸፍነዋል፣ 150 ሚሊዮን ከሁለት ዓመት በፊት፣ ከ 60 ሚሊዮን ሶስት ዓመታት በፊት)። ከፋየርፎክስ ቴሌሜትሪ አገልግሎት የተገኘው መረጃ እንደሚያሳየው፣ በኤችቲቲፒኤስ በኩል ያለው የገጽ ጥያቄዎች ዓለም አቀፍ ድርሻ 82% ነው (ከአንድ ዓመት በፊት - 81% ፣ ከሁለት ዓመት በፊት - 77% ፣ ከሶስት ዓመት በፊት - 69% ፣ ከአራት ዓመታት በፊት - 58%)።
ምንጭ: opennet.ru