За да може браузър да удостовери уебсайт, той се представя с валидна верига от сертификати. Типична верига е показана по-горе и може да има повече от един междинен сертификат. Минималният брой сертификати в една валидна верига е три.
Основният сертификат е сърцето на сертифициращия орган. Той е буквално вграден във вашата операционна система или браузър, физически присъства на вашето устройство. Не може да се промени от страната на сървъра. Необходима е принудителна актуализация на операционната система или фърмуера на устройството.
Специалист по сигурността Скот Хелме , че основните проблеми ще възникнат със сертифициращия орган Let's Encrypt, тъй като днес той е най-популярният CA в Интернет и основният му сертификат скоро ще се повреди. Промяна на корена на Let's Encrypt .
Крайният и междинният сертификат на сертифициращия орган (CA) се доставят на клиента от сървъра, а основният сертификат е от клиента вече имам, така че с тази колекция от сертификати човек може да изгради верига и да удостовери уебсайт.
Проблемът е, че всеки сертификат има срок на валидност, след който трябва да се смени. Например от 1 септември 2020 г. те планират да въведат ограничение за срока на валидност на сървърните TLS сертификати в браузъра Safari .
Това означава, че всички ние ще трябва да подменяме сървърните си сертификати поне на всеки 12 месеца. Това ограничение важи само за сървърни сертификати; то не важи за главни CA сертификати.
CA сертификатите се управляват от различен набор от правила и следователно имат различни граници на валидност. Много често се срещат междинни сертификати със срок на валидност 5 години и основни сертификати със срок на експлоатация дори 25 години!
Обикновено няма проблеми с междинните сертификати, защото те се доставят на клиента от сървъра, който сам сменя собствения си сертификат много по-често, така че просто заменя междинния в процеса. Доста лесно е да го замените заедно със сертификата на сървъра, за разлика от основния CA сертификат.
Както вече казахме, root CA е вграден директно в самото клиентско устройство, в операционната система, браузъра или друг софтуер. Промяната на основния CA е извън контрола на уебсайта. Това изисква актуализация на клиента, било то актуализация на операционна система или софтуер.
Някои root CA съществуват от много дълго време, говорим за 20-25 години. Скоро някои от най-старите коренни CA ще наближат края на естествения си живот, времето им почти изтече. За повечето от нас това изобщо няма да е проблем, защото CA са създали нови основни сертификати и те са били разпространявани по целия свят в актуализации на операционната система и браузъра в продължение на много години. Но ако някой не е актуализирал своята операционна система или браузър от много дълго време, това е вид проблем.
Тази ситуация възникна на 30 май 2020 г. в 10:48:38 GMT. Това е точното време, когато от сертифициращия орган Comodo (Sectigo).
Използва се за кръстосано подписване, за да се осигури съвместимост с наследени устройства, които нямат новия основен сертификат USERTrust в своя магазин.
За съжаление възникнаха проблеми не само в наследени браузъри, но и в клиенти без браузър, базирани на OpenSSL 1.0.x, LibreSSL и . Например в декодери , обслужване , в приложенията Fortinet, Chargify, на платформата .NET Core 2.0 за Linux и .
Предполагаше се, че проблемът ще засегне само наследени системи (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 и т.н.), тъй като съвременните браузъри могат да използват втория основен сертификат USERTRust. Но всъщност започнаха повреди в стотици уеб услуги, които използваха безплатните библиотеки OpenSSL 1.0.x и GnuTLS. Вече не може да се установи защитена връзка със съобщение за грешка, което показва, че сертификатът е остарял.
Следва - Let's Encrypt
Друг добър пример за предстоящата промяна на главния CA е сертифициращият орган Let's Encrypt. | Повече ▼ те планираха да преминат от веригата Identrust към собствената си основна верига ISRG, но това .
„Поради опасения относно липсата на приемане на ISRG root на устройства с Android, ние решихме да преместим датата на прехода към родния root от 8 юли 2019 г. на 8 юли 2020 г.“, се казва в изявление на Let's Encrypt.
Датата трябваше да бъде отложена поради проблем, наречен „разпространение на корен“, или по-точно, липса на разпространение на корен, когато основният CA не е много широко разпространен във всички клиенти.
Let's Encrypt в момента използва кръстосано подписан междинен сертификат, свързан с IdenTrust DST Root CA X3. Този основен сертификат е издаден през септември 2000 г. и изтича на 30 септември 2021 г. Дотогава Let's Encrypt планира да мигрира към собствения си самоподписан ISRG Root X1.
ISRG root издаден на 4 юни 2015 г. След това започна процесът по утвърждаването му като удостоверяващ орган, който приключи . От този момент нататък основният CA беше достъпен за всички клиенти чрез актуализация на операционна система или софтуер. Всичко, което трябваше да направите, беше да инсталирате актуализацията.
Но това е проблемът.
Ако вашият мобилен телефон, телевизор или друго устройство не е актуализирано в продължение на две години, как ще разбере за новия основен сертификат ISRG Root X1? И ако не го инсталирате в системата, вашето устройство ще направи невалидни всички сървърни сертификати на Let's Encrypt веднага щом Let's Encrypt премине към нов корен. И в екосистемата на Android има много остарели устройства, които не са актуализирани от дълго време.
Екосистема на Android
Ето защо Let's Encrypt забави преминаването към своя собствен ISRG корен и все още използва междинен продукт, който се спуска до корена на IdenTrust. Но преходът ще трябва да бъде направен във всеки случай. И се задава датата на промяна на корена .
За да проверите дали ISRG X1 root е инсталиран на вашето устройство (телевизор, приемник или друг клиент), отворете тестовия сайт . Ако не се появи предупреждение за сигурност, обикновено всичко е наред.
Let's Encrypt не е единственият, изправен пред предизвикателството да мигрира към нов root. Криптографията в Интернет започна да се използва преди малко повече от 20 години, така че сега е времето, когато много основни сертификати са на път да изтекат.
Собствениците на смарт телевизори, които не са актуализирали софтуера на Smart TV в продължение на много години, могат да се сблъскат с този проблем. Например новият корен на GlobalSign беше пуснат през 2012 г. и след като някои стари Smart TV не могат да изградят верига към него, защото просто нямат този root CA. По-специално, тези клиенти не успяха да установят защитена връзка с уебсайта bbc.co.uk. За да решат проблема, администраторите на BBC трябваше да прибегнат до трик: те чрез допълнителни междинни сертификати, използвайки стари корени и , които още не са се развалили.
www.bbc.co.uk (Листа) GlobalSign ECC OV SSL CA 2018 (Междинен) GlobalSign Root CA - R5 (Междинен) GlobalSign Root CA - R3 (Междинен)
Това е временно решение. Проблемът няма да изчезне, освен ако не актуализирате клиентския софтуер. Интелигентният телевизор по същество е компютър с ограничена функционалност, работещ под Linux. И без актуализации основните му сертификати неизбежно ще станат гнили.
Това важи за всички устройства, не само за телевизори. Ако имате устройство, което е свързано с интернет и което е рекламирано като „умно“ устройство, тогава проблемът с гнилите сертификати почти сигурно се отнася до него. Ако устройството не се актуализира, основното CA хранилище ще остарее с времето и в крайна сметка проблемът ще се появи. Колко скоро ще се появи проблемът зависи от това кога за последен път е актуализирано основното хранилище. Това може да са няколко години преди действителната дата на пускане на устройството.
Между другото, това е проблемът, поради който някои големи медийни платформи не могат да използват модерни автоматизирани сертифициращи органи като Let's Encrypt, пише Скот Хелме. Те не са подходящи за интелигентни телевизори и броят на корените е твърде малък, за да гарантира поддръжка на сертификати на стари устройства. В противен случай телевизията просто няма да може да стартира модерни стрийминг услуги.
Последният инцидент с AddTrust показа, че дори големите ИТ компании не са подготвени за факта, че основният сертификат изтича.
Има само едно решение на проблема - актуализация. Разработчиците на смарт устройства трябва предварително да осигурят механизъм за актуализиране на софтуера и основните сертификати. От друга страна, за производителите не е изгодно да осигурят работата на своите устройства след изтичане на гаранционния срок.
Източник: www.habr.com