Brauzerin veb-saytın autentifikasiyası üçün o, özünü etibarlı sertifikat zənciri ilə təqdim edir. Tipik bir zəncir yuxarıda göstərilmişdir və birdən çox aralıq sertifikat ola bilər. Etibarlı zəncirdə sertifikatların minimum sayı üçdür.
Kök sertifikat sertifikat orqanının ürəyidir. O, sözün əsl mənasında OS və ya brauzerinizdə quraşdırılıb, fiziki olaraq cihazınızda mövcuddur. Server tərəfindən dəyişdirilə bilməz. Cihazda OS və ya proqram təminatının məcburi yenilənməsi tələb olunur.
Təhlükəsizlik Mütəxəssisi Scott Helme , əsas problemlərin Let's Encrypt sertifikatlaşdırma orqanı ilə yaranacağını, çünki bu gün İnternetdə ən populyar CA-dır və onun kök sertifikatı tezliklə pisləşəcək. Let's Encrypt kökünün dəyişdirilməsi .
Sertifikatlaşdırma orqanının (CA) son və ara sertifikatları serverdən müştəriyə, kök sertifikat isə müştəridən verilir. artıq var, beləliklə, bu sertifikatlar kolleksiyası ilə bir zəncir qurmaq və veb-saytı təsdiqləmək olar.
Problem ondadır ki, hər bir sertifikatın istifadə müddəti var, ondan sonra onu dəyişdirmək lazımdır. Məsələn, 1 sentyabr 2020-ci ildən Safari brauzerində server TLS sertifikatlarının etibarlılıq müddətinə məhdudiyyət tətbiq etməyi planlaşdırırlar. .
Bu o deməkdir ki, biz hamımız server sertifikatlarımızı ən azı 12 aydan bir dəyişdirməli olacağıq. Bu məhdudiyyət yalnız server sertifikatlarına aiddir; o heç bir kök CA sertifikatlarına aiddir.
CA sertifikatları fərqli qaydalar dəsti ilə idarə olunur və buna görə də fərqli etibarlılıq limitlərinə malikdir. 5 il etibarlılıq müddəti olan ara sertifikatlar və hətta 25 il xidmət müddəti olan kök sertifikatları tapmaq çox yaygındır!
Aralıq sertifikatlarla ümumiyyətlə problem olmur, çünki onlar müştəriyə server tərəfindən verilir, özü də öz sertifikatını daha tez-tez dəyişir, buna görə də prosesdə sadəcə ara sertifikatı əvəz edir. Kök CA sertifikatından fərqli olaraq onu server sertifikatı ilə əvəz etmək olduqca asandır.
Artıq dediyimiz kimi, kök CA birbaşa müştəri cihazının özündə, OS, brauzer və ya digər proqram təminatında qurulur. Kök CA-nın dəyişdirilməsi vebsaytın nəzarəti xaricindədir. Bu, istər OS, istərsə də proqram təminatı yeniləməsi olsun, müştərinin yeniləməsini tələb edir.
Bəzi kök CA-lar çox uzun müddətdir mövcuddur, söhbət 20-25 ildən gedir. Tezliklə ən qədim kök CA-lardan bəziləri təbii ömürlərinin sonuna yaxınlaşacaq, onların vaxtı demək olar ki, bitmək üzrədir. Əksəriyyətimiz üçün bu heç də problem olmayacaq, çünki CA-lar yeni kök sertifikatları yaratmışlar və onlar uzun illər ərzində ƏS və brauzer yeniləmələrində bütün dünyaya yayılmışdır. Ancaq kimsə çox uzun müddət ərzində əməliyyat sistemini və ya brauzerini yeniləməyibsə, bu, bir növ problemdir.
Bu vəziyyət 30 may 2020-ci il GMT vaxtı ilə 10:48:38-də baş verib. Bu dəqiq vaxtdır Comodo sertifikatlaşdırma orqanından (Sectigo).
Mağazasında yeni USERTrust kök sertifikatı olmayan köhnə cihazlarla uyğunluğu təmin etmək üçün çarpaz imzalama üçün istifadə edilmişdir.
Təəssüf ki, problemlər təkcə köhnə brauzerlərdə deyil, həm də OpenSSL 1.0.x, LibreSSL və . Məsələn, pristavkalarda , xidmət , Fortinet-də, Chargify proqramları, Linux üçün .NET Core 2.0 platformasında və .
Problemin yalnız köhnə sistemlərə (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 və s.) təsir edəcəyi güman edilirdi, çünki müasir brauzerlər ikinci USERTRust kök sertifikatından istifadə edə bilər. Lakin əslində, uğursuzluqlar pulsuz OpenSSL 1.0.x və GnuTLS kitabxanalarından istifadə edən yüzlərlə veb xidmətdə başladı. Sertifikatın köhnəldiyini göstərən xəta mesajı ilə təhlükəsiz əlaqə artıq qurula bilməz.
Sonrakı - Gəlin Şifrələyək
Qarşıdan gələn kök CA dəyişikliyinin başqa bir yaxşı nümunəsi Let's Encrypt sertifikat orqanıdır. Daha çox onlar Identrust zəncirindən öz ISRG Kök zəncirinə keçməyi planlaşdırdılar, lakin bu .
"Android cihazlarında ISRG kökünün qəbul edilməməsi ilə bağlı narahatlıqlara görə, biz yerli kök keçid tarixini 8 iyul 2019-cu ildən 8 iyul 2020-ci il tarixinə köçürmək qərarına gəldik" dedi Let's Encrypt.
Kök CA bütün müştərilər arasında çox geniş yayılmadığı zaman “kök yayılması” adlı problem, daha dəqiq desək, kök yayılmasının olmaması səbəbindən tarix təxirə salınmalı idi.
Let's Encrypt hazırda IdenTrust DST Root CA X3 ilə zəncirlənmiş çarpaz imzalanmış ara sertifikatdan istifadə edir. Bu kök sertifikatı 2000-ci ilin sentyabrında verilib və 30 sentyabr 2021-ci ildə başa çatır. O vaxta qədər Let's Encrypt özünün imzalı ISRG Root X1-ə keçməyi planlaşdırır.
ISRG kökü 4 iyun 2015-ci ildə buraxıldı. Bundan sonra onun sertifikatlaşdırma orqanı kimi təsdiqi prosesi başlanmış və bu proses başa çatmışdır . Bu andan etibarən, kök CA əməliyyat sistemi və ya proqram yeniləməsi vasitəsilə bütün müştərilər üçün əlçatan oldu. Etməli olduğunuz tək şey yeniləməni quraşdırmaq idi.
Amma problem budur.
Cib telefonunuz, televizorunuz və ya digər cihazınız iki il ərzində yenilənməyibsə, o, yeni ISRG Root X1 kök sertifikatı haqqında necə biləcək? Əgər siz onu sistemə quraşdırmasanız, o zaman Let's Encrypt yeni kökə keçən kimi cihazınız bütün Let's Encrypt server sertifikatlarını etibarsız edəcək. Android ekosistemində uzun müddətdir yenilənməmiş bir çox köhnəlmiş qurğular var.
Android ekosistemi
Buna görə Let's Encrypt öz ISRG kökünə keçməyi gecikdirdi və hələ də IdenTrust kökünə enən ara məhsuldan istifadə edir. Amma istənilən halda keçid həyata keçirilməli olacaq. Və kök dəyişdirmə tarixi təyin olunur .
Cihazınızda (TV, pristavka və ya digər müştəri) ISRG X1 kökünün quraşdırıldığını yoxlamaq üçün test saytını açın. . Heç bir təhlükəsizlik xəbərdarlığı görünmürsə, demək olar ki, hər şey qaydasındadır.
Let's Encrypt yeni kökə keçid problemi ilə üzləşən yeganə şəxs deyil. İnternetdə kriptoqrafiya cəmi 20 il bundan əvvəl istifadə olunmağa başladı, buna görə də indi bir çox kök sertifikatların müddəti bitmək üzrədir.
Uzun illər Smart TV proqramını yeniləməmiş smart televizorların sahibləri bu problemlə qarşılaşa bilərlər. Məsələn, yeni GlobalSign kökü 2012-ci ildə buraxıldı və bəzi köhnə Smart TV-lərdən sonra ona zəncir qura bilmirlər, çünki onlar sadəcə olaraq bu kök CA-ya malik deyillər. Xüsusilə, bu müştərilər bbc.co.uk vebsaytı ilə təhlükəsiz əlaqə qura bilməyiblər. Problemi həll etmək üçün BBC administratorları hiyləgərliyə əl atmalı oldular: onlar köhnə köklərdən istifadə edərək əlavə aralıq sertifikatlar vasitəsilə и , hələ çürüməmiş.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Orta) GlobalSign Root CA - R5 (Orta) GlobalSign Root CA - R3 (Orta)
Bu müvəqqəti həll yoludur. Müştəri proqramını yeniləməyincə problem aradan qalxmayacaq. Ağıllı televizor mahiyyətcə Linux ilə işləyən məhdud funksional kompüterdir. Və yeniləmələr olmadan, onun kök sertifikatları qaçılmaz olaraq çürüyəcəkdir.
Bu, təkcə televizorlara deyil, bütün cihazlara aiddir. İnternetə qoşulmuş və "ağıllı" cihaz kimi elan edilmiş hər hansı bir cihazınız varsa, çürük sertifikatlarla bağlı problem demək olar ki, ona aiddir. Cihaz yenilənməsə, kök CA anbarı zamanla köhnələcək və nəticədə problem üzə çıxacaq. Problemin nə qədər tez baş verməsi kök anbarının sonuncu dəfə nə vaxt yenilənməsindən asılıdır. Bu, cihazın faktiki buraxılış tarixindən bir neçə il əvvəl ola bilər.
Yeri gəlmişkən, bəzi böyük media platformalarının Let's Encrypt kimi müasir avtomatlaşdırılmış sertifikat orqanlarından istifadə edə bilməməsi problemdir, Scott Helme yazır. Onlar smart televizorlar üçün uyğun deyil və köklərin sayı köhnə cihazlarda sertifikat dəstəyinə zəmanət vermək üçün çox azdır. Əks halda, TV sadəcə olaraq müasir axın xidmətlərini işə sala bilməyəcək.
AddTrust ilə bağlı son insident göstərdi ki, hətta böyük İT şirkətləri də kök sertifikatının müddətinin bitməsinə hazır deyillər.
Problemin yalnız bir həlli var - yeniləmə. Ağıllı cihazların tərtibatçıları proqram təminatının və kök sertifikatların yenilənməsi mexanizmini əvvəlcədən təmin etməlidirlər. Digər tərəfdən, istehsalçılara zəmanət müddəti bitdikdən sonra cihazlarının işləməsini təmin etmək sərfəli deyil.
Mənbə: www.habr.com