لكي يقوم المتصفح بمصادقة موقع ويب، فإنه يقدم نفسه بسلسلة شهادات صالحة. يتم عرض سلسلة نموذجية أعلاه، وقد يكون هناك أكثر من شهادة وسيطة. الحد الأدنى لعدد الشهادات في سلسلة صالحة هو ثلاث.

الشهادة الجذرية هي قلب المرجع المصدق. فهو مدمج فعليًا في نظام التشغيل أو المتصفح لديك، وهو موجود فعليًا على جهازك. لا يمكن تغييره من جانب الخادم. يلزم إجراء تحديث قسري لنظام التشغيل أو البرامج الثابتة الموجودة على الجهاز.

متخصص الأمن سكوت هيلم يكتب، أن المشاكل الرئيسية ستنشأ مع المرجع المصدق Let's Encrypt، لأنه اليوم هو المرجع المصدق الأكثر شيوعًا على الإنترنت، وستصبح شهادة الجذر الخاصة به سيئة قريبًا. تغيير جذر Let's Encrypt المقرر في 8 يوليو 2020.

يتم تسليم الشهادات النهائية والمتوسطة للمرجع المصدق (CA) إلى العميل من الخادم، وتكون الشهادة الجذرية من العميل بالفعللذا، باستخدام هذه المجموعة من الشهادات، يمكن إنشاء سلسلة والمصادقة على موقع ويب.

المشكلة هي أن كل شهادة لها تاريخ انتهاء الصلاحية، وبعد ذلك يجب استبدالها. على سبيل المثال، اعتبارًا من 1 سبتمبر 2020، يخططون لإدخال قيود على فترة صلاحية شهادات TLS للخادم في متصفح Safari 398 أيام كحد أقصى.

وهذا يعني أنه سيتعين علينا جميعًا استبدال شهادات الخادم لدينا كل 12 شهرًا على الأقل. ينطبق هذا القيد فقط على شهادات الخادم؛ لا ينطبق على شهادات CA الجذر.

تخضع شهادات CA لمجموعة مختلفة من القواعد، وبالتالي لها حدود صلاحية مختلفة. من الشائع جدًا العثور على شهادات متوسطة بفترة صلاحية تصل إلى 5 سنوات وشهادات جذرية بعمر خدمة يصل إلى 25 عامًا!

عادة لا توجد مشاكل مع الشهادات المتوسطة، لأنه يتم توفيرها للعميل عن طريق الخادم، والذي يغير شهادته الخاصة في كثير من الأحيان، لذلك فهو ببساطة يستبدل الشهادة المتوسطة في هذه العملية. من السهل جدًا استبدالها مع شهادة الخادم، على عكس شهادة CA الجذر.

كما قلنا من قبل، تم إنشاء المرجع المصدق الجذري مباشرة في جهاز العميل نفسه، في نظام التشغيل أو المتصفح أو البرامج الأخرى. إن تغيير المرجع المصدق الجذري هو خارج عن سيطرة موقع الويب. ويتطلب ذلك تحديثًا للعميل، سواء كان ذلك تحديثًا لنظام التشغيل أو البرنامج.

بعض المراجع المصدقة الجذرية موجودة منذ فترة طويلة جدًا، ونحن نتحدث عن 20-25 عامًا. قريبًا، ستقترب بعض أقدم المراجع المصدقة الجذرية من نهاية حياتها الطبيعية، وقد انتهى وقتها تقريبًا. بالنسبة لمعظمنا، لن يمثل هذا مشكلة على الإطلاق لأن المراجع المصدقة أنشأت شهادات جذر جديدة وتم توزيعها حول العالم في تحديثات نظام التشغيل والمتصفح لسنوات عديدة. ولكن إذا لم يقم شخص ما بتحديث نظام التشغيل أو المتصفح الخاص به لفترة طويلة جدًا، فهذه مشكلة نوعًا ما.

حدث هذا الموقف في 30 مايو 2020 الساعة 10:48:38 بتوقيت جرينتش. هذا هو الوقت المحدد عندما شهادة جذر AddTrust فاسدة من هيئة شهادات كومودو (Sectigo).

تم استخدامه للتوقيع المتبادل لضمان التوافق مع الأجهزة القديمة التي لا تحتوي على شهادة جذر USERTrust الجديدة في متجرها.

ولسوء الحظ، لم تنشأ المشاكل في المتصفحات القديمة فحسب، بل ظهرت أيضًا في العملاء الذين لا يستخدمون المتصفحات استنادًا إلى OpenSSL 1.0.x وLibreSSL و GnuTLS. على سبيل المثال، في أجهزة فك التشفير عام، خدمة Heroku، في Fortinet، وتطبيقات Chargify، على النظام الأساسي .NET Core 2.0 لنظام التشغيل Linux و آخرين كثر.

كان من المفترض أن تؤثر المشكلة فقط على الأنظمة القديمة (Android 2.3، وWindows XP، وMac OS X 10.11، وiOS 9، وما إلى ذلك)، نظرًا لأن المتصفحات الحديثة يمكنها استخدام شهادة جذر USERTRust الثانية. ولكن في الواقع، بدأت حالات الفشل في مئات من خدمات الويب التي تستخدم مكتبات OpenSSL 1.0.x وGnuTLS المجانية. لم يعد من الممكن إنشاء اتصال آمن مع ظهور رسالة خطأ تشير إلى أن الشهادة قديمة.

التالي - دعونا تشفير

مثال جيد آخر على تغيير المرجع المصدق الجذري القادم هو المرجع المصدق Let's Encrypt. أكثر في أبريل 2019 من السنة لقد خططوا للتبديل من سلسلة Identrust إلى سلسلة ISRG Root الخاصة بهم، ولكن هذا لم يحدث.

وقالت Let's Encrypt في بيان: "نظرًا للمخاوف بشأن عدم اعتماد جذر ISRG على أجهزة Android، قررنا نقل تاريخ انتقال الجذر الأصلي من 8 يوليو 2019 إلى 8 يوليو 2020".

كان لا بد من تأجيل التاريخ بسبب مشكلة تسمى "انتشار الجذر"، أو بشكل أكثر دقة، عدم وجود انتشار الجذر، عندما لا يتم توزيع المرجع المصدق الجذر على نطاق واسع عبر جميع العملاء.

يستخدم Let's Encrypt حاليًا شهادة وسيطة موقعة بشكل متقاطع ومرتبطة بـ IdenTrust DST Root CA X3. تم إصدار هذه الشهادة الجذرية في سبتمبر 2000 وتنتهي في 30 سبتمبر 2021. حتى ذلك الحين، تخطط Let's Encrypt للانتقال إلى ISRG Root X1 الموقع ذاتيًا.

تم إصدار جذر ISRG في 4 يونيو 2015. وبعد ذلك بدأت عملية اعتمادها كمرجع مصدق، والتي انتهت سنوات أغسطس 6 2018. من هذه النقطة فصاعدًا، أصبح المرجع المصدق الجذري متاحًا لجميع العملاء من خلال نظام التشغيل أو تحديث البرنامج. كل ما عليك فعله هو تثبيت التحديث.

ولكن هذه هي المشكلة.

إذا لم يتم تحديث هاتفك المحمول أو التلفزيون أو أي جهاز آخر لمدة عامين، فكيف سيعرف عن شهادة الجذر ISRG Root X1 الجديدة؟ وإذا لم تقم بتثبيته على النظام، فسيقوم جهازك بإبطال جميع شهادات خادم Let's Encrypt بمجرد أن يتحول Let's Encrypt إلى جذر جديد. وفي نظام Android البيئي هناك العديد من الأجهزة القديمة التي لم يتم تحديثها لفترة طويلة.

نظام أندرويد البيئي

ولهذا السبب تأخرت Let's Encrypt في الانتقال إلى جذر ISRG الخاص بها وما زالت تستخدم وسيطًا ينتقل إلى جذر IdenTrust. ولكن يجب أن يتم الانتقال في أي حال. ويتم تعيين تاريخ تغيير الجذر يوليو 8 2020 سنوات.

للتحقق من تثبيت جذر ISRG X1 على جهازك (التلفزيون أو جهاز فك التشفير أو أي عميل آخر)، افتح موقع الاختبار https://valid-isrgrootx1.letsencrypt.org/. إذا لم يظهر أي تحذير أمني، فعادةً ما يكون كل شيء على ما يرام.

Let's Encrypt ليس الوحيد الذي يواجه تحدي الانتقال إلى جذر جديد. بدأ استخدام التشفير على الإنترنت منذ ما يزيد قليلاً عن 20 عامًا، لذا فقد حان الوقت الذي تكون فيه العديد من شهادات الجذر على وشك الانتهاء.

قد يواجه أصحاب أجهزة التلفاز الذكية الذين لم يقوموا بتحديث برنامج Smart TV لسنوات عديدة هذه المشكلة. على سبيل المثال، جذر GlobalSign الجديد الجذر R5 تم إصداره في عام 2012، وبعد أن لم تتمكن بعض أجهزة التلفاز الذكية القديمة من بناء سلسلة لها، لأنها ببساطة لا تملك هذا المرجع المصدق (CA) الجذر. وعلى وجه الخصوص، لم يتمكن هؤلاء العملاء من إنشاء اتصال آمن بموقع bbc.co.uk. ولحل المشكلة، كان على مسؤولي بي بي سي أن يلجأوا إلى خدعة: هم قمنا ببناء سلسلة بديلة لهؤلاء العملاء من خلال شهادات وسيطة إضافية، وذلك باستخدام الجذور القديمة الجذر R3 и الجذر R1، والتي لم تفسد بعد.

www.bbc.co.uk (ورقة) GlobalSign ECC OV SSL CA 2018 (متوسط) GlobalSign Root CA - R5 (متوسط) GlobalSign Root CA - R3 (متوسط)

هذا حل مؤقت. لن تختفي المشكلة إلا إذا قمت بتحديث برنامج العميل. التلفزيون الذكي هو في الأساس جهاز كمبيوتر محدود الوظائف يعمل بنظام التشغيل Linux. وبدون تحديثات، ستصبح شهادات الجذر الخاصة به فاسدة حتمًا.

وهذا ينطبق على جميع الأجهزة، وليس فقط أجهزة التلفاز. إذا كان لديك أي جهاز متصل بالإنترنت وتم الإعلان عنه على أنه جهاز "ذكي"، فمن المؤكد تقريبًا أن مشكلة الشهادات الفاسدة تتعلق به. إذا لم يتم تحديث الجهاز، فسيصبح مخزن CA الجذر قديمًا بمرور الوقت وستظهر المشكلة في النهاية. يعتمد مدى سرعة حدوث المشكلة على تاريخ آخر تحديث للمتجر الجذر. قد يستغرق هذا عدة سنوات قبل تاريخ الإصدار الفعلي للجهاز.

بالمناسبة، هذه هي المشكلة التي تجعل بعض منصات الوسائط الكبيرة لا تستطيع استخدام مراجع التصديق الآلية الحديثة مثل Let's Encrypt، كما كتب سكوت هيلم. وهي غير مناسبة لأجهزة التلفزيون الذكية، وعدد الجذور صغير جدًا بحيث لا يضمن دعم الشهادة على الأجهزة القديمة. خلاف ذلك، لن يتمكن التلفزيون ببساطة من إطلاق خدمات البث الحديثة.

أظهرت الحادثة الأخيرة مع AddTrust أنه حتى شركات تكنولوجيا المعلومات الكبيرة ليست مستعدة لحقيقة انتهاء صلاحية شهادة الجذر.

لا يوجد سوى حل واحد لهذه المشكلة - التحديث. يجب على مطوري الأجهزة الذكية توفير آلية لتحديث البرامج وشهادات الجذر مسبقًا. ومن ناحية أخرى، ليس من المربح للمصنعين التأكد من تشغيل أجهزتهم بعد انتهاء فترة الضمان.

المصدر: www.habr.com