IdenTrust রুট শংসাপত্রের মেয়াদ শেষ হয়ে গেলে পুরানো ডিভাইসে লেটস এনক্রিপ্টে আস্থা হারিয়ে যাবে

30শে সেপ্টেম্বর মস্কোর সময় 17:01 এ, আইডেনট্রাস্ট রুট সার্টিফিকেট (DST রুট CA X3), যা লেটস এনক্রিপ্ট সার্টিফিকেশন অথরিটি (ISRG রুট X1) এর রুট সার্টিফিকেট ক্রস সাইন করার জন্য ব্যবহার করা হয়েছিল, যা সম্প্রদায়ের দ্বারা নিয়ন্ত্রিত হয় এবং প্রত্যেককে বিনামূল্যে সার্টিফিকেট প্রদান করে, মেয়াদ শেষ হয়। ক্রস-সাইনিং নিশ্চিত করে যে Let's Encrypt শংসাপত্রগুলি বিস্তৃত ডিভাইস, অপারেটিং সিস্টেম এবং ব্রাউজার জুড়ে বিশ্বস্ত ছিল যখন Let's Encrypt-এর নিজস্ব রুট সার্টিফিকেট রুট সার্টিফিকেট স্টোরগুলিতে একত্রিত হয়েছিল।

এটি মূলত পরিকল্পনা করা হয়েছিল যে DST রুট CA X3 অবচয় করার পরে, Let's Encrypt প্রকল্পটি শুধুমাত্র এর রুট সার্টিফিকেট ব্যবহার করে স্বাক্ষর তৈরি করতে স্যুইচ করবে, কিন্তু এই ধরনের পদক্ষেপের ফলে প্রচুর সংখ্যক পুরানো সিস্টেমের সাথে সামঞ্জস্যতা নষ্ট হবে যা হয়নি। আসুন তাদের সংগ্রহস্থলে রুট শংসাপত্র এনক্রিপ্ট করুন। বিশেষ করে, ব্যবহার করা প্রায় 30% অ্যান্ড্রয়েড ডিভাইসে Let's Encrypt রুট শংসাপত্রে ডেটা নেই, যার জন্য সমর্থন শুধুমাত্র Android 7.1.1 প্ল্যাটফর্মের সাথে শুরু হয়েছিল, যা 2016 এর শেষে প্রকাশিত হয়েছিল।

আসুন এনক্রিপ্ট একটি নতুন ক্রস-স্বাক্ষর চুক্তিতে প্রবেশ করার পরিকল্পনা করেনি, কারণ এটি চুক্তির পক্ষগুলির উপর অতিরিক্ত দায়িত্ব চাপিয়ে দেয়, তাদের স্বাধীনতা থেকে বঞ্চিত করে এবং অন্য সার্টিফিকেশন কর্তৃপক্ষের সমস্ত পদ্ধতি এবং নিয়ম মেনে চলার শর্তে তাদের হাত বাঁধে। কিন্তু বিপুল সংখ্যক অ্যান্ড্রয়েড ডিভাইসে সম্ভাব্য সমস্যার কারণে পরিকল্পনাটি সংশোধন করা হয়েছে। IdenTrust সার্টিফিকেশন কর্তৃপক্ষের সাথে একটি নতুন চুক্তি সমাপ্ত হয়েছে, যার কাঠামোর মধ্যে একটি বিকল্প ক্রস-স্বাক্ষরিত Let’s Encrypt মধ্যবর্তী শংসাপত্র তৈরি করা হয়েছিল৷ ক্রস-স্বাক্ষরটি তিন বছরের জন্য বৈধ হবে এবং সংস্করণ 2.3.6 থেকে শুরু করে Android ডিভাইসগুলির জন্য সমর্থন বজায় রাখবে।

যাইহোক, নতুন মধ্যবর্তী সার্টিফিকেট অন্যান্য অনেক উত্তরাধিকার সিস্টেমকে কভার করে না। উদাহরণস্বরূপ, 3 সেপ্টেম্বর DST রুট CA X30 শংসাপত্রের অবমূল্যায়নের সাথে, Let's Encrypt শংসাপত্রগুলি আর অসমর্থিত ফার্মওয়্যার এবং অপারেটিং সিস্টেমগুলিতে গ্রহণ করা হবে না যেগুলির উপর বিশ্বাস নিশ্চিত করতে রুট সার্টিফিকেট স্টোরে ম্যানুয়ালি ISRG রুট X1 শংসাপত্র যোগ করতে হবে৷ সার্টিফিকেট এনক্রিপ্ট করুন। সমস্যাগুলি নিজেকে প্রকাশ করবে:

• ওপেনএসএসএল শাখা 1.0.2 পর্যন্ত অন্তর্ভুক্ত (শাখা 1.0.2 এর রক্ষণাবেক্ষণ ডিসেম্বর 2019 এ বন্ধ করা হয়েছিল);
• এনএসএস <3.26;
• জাভা 8 < 8u141, জাভা 7 < 7u151;
• উইন্ডোজ < XP SP3;
• macOS <10.12.1;
• iOS <10 (iPhone <5);
• অ্যান্ড্রয়েড < 2.3.6;
• মজিলা ফায়ারফক্স <50;
• উবুন্টু <16.04;
• ডেবিয়ান <8।

OpenSSL 1.0.2-এর ক্ষেত্রে, সমস্যাটি একটি বাগ দ্বারা সৃষ্ট হয় যা ক্রস-স্বাক্ষরিত শংসাপত্রগুলিকে সঠিকভাবে প্রক্রিয়া করা থেকে বাধা দেয় যদি স্বাক্ষর করার জন্য ব্যবহৃত রুট শংসাপত্রগুলির মধ্যে একটির মেয়াদ শেষ হয়ে যায়, এমনকি যদি বিশ্বাসের অন্যান্য বৈধ চেইন থেকে যায়। Sectigo (Comodo) সার্টিফিকেশন কর্তৃপক্ষের কাছ থেকে ক্রস-সাইন সার্টিফিকেটের জন্য ব্যবহৃত AddTrust সার্টিফিকেট অপ্রচলিত হওয়ার পরে সমস্যাটি গত বছর প্রথম দেখা দেয়। সমস্যার মূল হল যে OpenSSL শংসাপত্রটিকে একটি লিনিয়ার চেইন হিসাবে পার্স করেছে, যেখানে RFC 4158 অনুসারে, একটি শংসাপত্র একাধিক ট্রাস্ট অ্যাঙ্কর সহ একটি নির্দেশিত বিতরণ করা বৃত্তাকার গ্রাফ উপস্থাপন করতে পারে যা বিবেচনায় নেওয়া দরকার।

OpenSSL 1.0.2 এর উপর ভিত্তি করে পুরানো ডিস্ট্রিবিউশনের ব্যবহারকারীদের সমস্যা সমাধানের জন্য তিনটি সমাধান দেওয়া হয়:

• IdenTrust DST Root CA X3 রুট সার্টিফিকেট ম্যানুয়ালি মুছে ফেলা হয়েছে এবং স্ট্যান্ড-অলোন (ক্রস-স্বাক্ষরিত নয়) ISRG রুট X1 রুট শংসাপত্র ইনস্টল করেছে৷
• openssl verify এবং s_client কমান্ডগুলি চালানোর সময়, আপনি "-trusted_first" বিকল্পটি নির্দিষ্ট করতে পারেন।
• সার্ভারে একটি পৃথক রুট শংসাপত্র SRG Root X1 দ্বারা প্রত্যয়িত একটি শংসাপত্র ব্যবহার করুন, যার একটি ক্রস-স্বাক্ষর নেই৷ এই পদ্ধতিটি পুরানো অ্যান্ড্রয়েড ক্লায়েন্টদের সাথে সামঞ্জস্য হারাতে পারে।

উপরন্তু, আমরা লক্ষ্য করতে পারি যে Let’s Encrypt প্রকল্পটি দুই বিলিয়ন উত্পন্ন শংসাপত্রের মাইলফলক অতিক্রম করেছে। এক বিলিয়নের মাইলফলক ছুঁয়েছে গত বছরের ফেব্রুয়ারিতে। প্রতিদিন 2.2-2.4 মিলিয়ন নতুন শংসাপত্র তৈরি হয়। সক্রিয় শংসাপত্রের সংখ্যা হল 192 মিলিয়ন (একটি শংসাপত্র তিন মাসের জন্য বৈধ) এবং প্রায় 260 মিলিয়ন ডোমেন কভার করে (195 মিলিয়ন ডোমেন এক বছর আগে কভার করা হয়েছিল, দুই বছর আগে 150 মিলিয়ন, তিন বছর আগে 60 মিলিয়ন)। ফায়ারফক্স টেলিমেট্রি পরিষেবার পরিসংখ্যান অনুসারে, HTTPS-এর মাধ্যমে পৃষ্ঠার অনুরোধের বিশ্বব্যাপী শেয়ার 82% (এক বছর আগে - 81%, দুই বছর আগে - 77%, তিন বছর আগে - 69%, চার বছর আগে - 58%)।

উত্স: opennet.ru