Alang sa usa ka browser nga mapamatud-an ang usa ka website, kini nagpresentar sa kaugalingon nga adunay usa ka balido nga kadena sa sertipiko. Usa ka tipikal nga kadena ang gipakita sa ibabaw, ug mahimong adunay labaw pa sa usa ka intermediate nga sertipiko. Ang minimum nga gidaghanon sa mga sertipiko sa usa ka balido nga kadena mao ang tulo.
Ang gamut nga sertipiko mao ang kasingkasing sa awtoridad sa sertipiko. Kini literal nga gitukod sa imong OS o browser, kini pisikal nga anaa sa imong device. Dili kini mausab gikan sa bahin sa server. Gikinahanglan ang pinugos nga pag-update sa OS o firmware sa device.
Espesyalista sa Seguridad nga si Scott Helme , nga ang mga nag-unang problema motungha sa Let's Encrypt certification authority, tungod kay karon kini ang pinakapopular nga CA sa Internet, ug ang root certificate niini sa dili madugay madaot. Pag-ilis sa gamut nga Let's Encrypt .
Ang katapusan ug intermediate nga mga sertipiko sa awtoridad sa sertipikasyon (CA) gihatag sa kliyente gikan sa server, ug ang gamut nga sertipiko gikan sa kliyente Naa na, mao nga sa kini nga koleksyon sa mga sertipiko ang usa makahimo sa usa ka kadena ug mapamatud-an ang usa ka website.
Ang problema mao nga ang matag sertipiko adunay petsa sa pag-expire, pagkahuman kinahanglan kini ilisan. Pananglitan, gikan sa Setyembre 1, 2020, nagplano sila nga ipakilala ang usa ka limitasyon sa panahon sa pagkabalido sa mga sertipiko sa TLS sa server sa browser sa Safari. .
Kini nagpasabot nga kitang tanan kinahanglang mopuli sa atong mga sertipiko sa server labing menos matag 12 ka bulan. Kini nga pagdili magamit lamang sa mga sertipiko sa server; kini dili magamit sa root CA certificates.
Ang mga sertipiko sa CA gidumala sa usa ka lahi nga hugpong sa mga lagda ug busa adunay lainlaing mga limitasyon sa pagkabalido. Komon kaayo nga makit-an ang mga intermediate nga sertipiko nga adunay panahon sa pagkabalido nga 5 ka tuig ug mga sertipiko sa ugat nga adunay kinabuhi sa serbisyo bisan 25 ka tuig!
Kasagaran walaβy mga problema sa mga intermediate nga sertipiko, tungod kay gihatag kini sa kliyente sa server, nga kanunay nga nagbag-o sa kaugalingon nga sertipiko, mao nga gipulihan ra niini ang intermediate sa proseso. Sayon ra ang pag-ilis niini kauban ang sertipiko sa server, dili sama sa sertipiko sa gamut nga CA.
Sama sa giingon na namon, ang gamut nga CA gitukod direkta sa aparato sa kliyente mismo, sa OS, browser o uban pang software. Ang pagbag-o sa gamut nga CA dili kontrolado sa website. Nagkinahanglan kini og update sa kliyente, ma-update man sa OS o software.
Ang ubang mga root CAs dugay na kaayo, naghisgut kami mga 20-25 ka tuig. Sa dili madugay ang pipila sa labing karaan nga root CAs moduol sa katapusan sa ilang natural nga kinabuhi, ang ilang panahon hapit na. Alang sa kadaghanan kanato dili kini mahimong problema tungod kay ang mga CA nagmugna ug bag-ong mga sertipiko sa ugat ug kini gipang-apod-apod sa tibuok kalibutan sa mga update sa OS ug browser sulod sa daghang katuigan. Apan kung adunay usa nga wala mag-update sa ilang OS o browser sa dugay nga panahon, kini usa ka problema.
Kini nga kahimtang nahitabo kaniadtong Mayo 30, 2020 sa 10:48:38 GMT. Kini ang eksaktong oras kung kanus-a gikan sa Comodo certification authority (Sectigo).
Gigamit kini alang sa cross-signing aron masiguro ang pagkaangay sa mga kabilin nga aparato nga walaβy bag-ong sertipiko sa ugat sa USERTrust sa ilang tindahan.
Ikasubo, ang mga problema mitungha dili lamang sa mga panulundon nga browser, apan usab sa mga kliyente nga dili browser base sa OpenSSL 1.0.x, LibreSSL ug . Pananglitan, sa set-top box , serbisyo , sa Fortinet, Chargify nga mga aplikasyon, sa .NET Core 2.0 nga plataporma para sa Linux ug .
Gituohan nga ang problema makaapekto lamang sa mga sistema sa kabilin (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, ug uban pa), tungod kay ang mga modernong browser makagamit sa ikaduhang USERTRust root certificate. Apan sa pagkatinuod, ang mga kapakyasan nagsugod sa gatusan ka mga serbisyo sa web nga migamit sa libre nga OpenSSL 1.0.x ug GnuTLS nga mga librarya. Ang usa ka luwas nga koneksyon dili na ma-establisar sa usa ka mensahe sa sayup nga nagpakita nga ang sertipiko wala na sa petsa.
Sunod - Atong I-encrypt
Ang laing maayong pananglitan sa umaabot nga pagbag-o sa gamut CA mao ang Let's Encrypt certificate authority. Dugang pa sila nagplano sa pagbalhin gikan sa Identrust kadena ngadto sa ilang kaugalingon nga ISRG Root kadena, apan kini .
"Tungod sa mga kabalaka bahin sa kakulang sa pagsagop sa gamut sa ISRG sa mga aparato sa Android, nakahukom kami nga ibalhin ang petsa sa pagbalhin sa lumad nga gamut gikan sa Hulyo 8, 2019 hangtod Hulyo 8, 2020," ingon sa Let's Encrypt sa usa ka pahayag.
Kinahanglang i-postpone ang petsa tungod sa problema nga gitawag ug "root propagation", o mas tukma, ang kakulang sa root propagation, kung ang gamut CA dili kaayo kaylap nga naapod-apod sa tanang kliyente.
Ang Let's Encrypt sa pagkakaron naggamit ug cross-signed intermediate certificate nga gikadena sa IdenTrust DST Root CA X3. Kini nga root certificate gi-isyu balik niadtong Septiyembre 2000 ug matapos sa Septiyembre 30, 2021. Hangtud niana, ang Let's Encrypt nagplano nga mobalhin sa kaugalingon nga gipirmahan sa kaugalingon nga ISRG Root X1.
Ang gamut sa ISRG gipagawas kaniadtong Hunyo 4, 2015. Pagkahuman niini, nagsugod ang proseso sa pag-apruba niini isip awtoridad sa sertipikasyon, nga natapos . Gikan niining puntoha, ang root CA anaa na sa tanang kliyente pinaagi sa operating system o software update. Ang kinahanglan nimong buhaton mao ang pag-install sa update.
Pero mao ni ang problema.
Kung ang imong mobile phone, TV o uban pang device wala pa ma-update sulod sa duha ka tuig, unsaon kini pagkahibalo bahin sa bag-ong ISRG Root X1 root certificate? Ug kung dili nimo kini i-install sa sistema, ang imong aparato mag-invalidate sa tanan nga Let's Encrypt server certificates sa diha nga ang Let's Encrypt mobalhin sa usa ka bag-ong gamut. Ug sa Android ecosystem adunay daghang mga karaan nga mga aparato nga wala pa ma-update sa dugay nga panahon.
Android ekosistema
Mao kini ang hinungdan nga ang Let's Encrypt nalangan sa pagbalhin sa kaugalingon nga gamut sa ISRG ug naggamit gihapon usa ka intermediate nga moadto sa gamut sa IdenTrust. Apan ang pagbalhin kinahanglan nga himuon sa bisan unsang kaso. Ug ang petsa sa pagbag-o sa gamut gi-assign .
Aron masusi nga ang ISRG X1 nga gamut na-install sa imong device (TV, set-top box o uban pang kliyente), ablihi ang test site . Kung walay pasidaan sa seguridad nga makita, nan ang tanan sa kasagaran maayo.
Dili lang ang Let's Encrypt ang nag-atubang sa hagit sa paglalin sa bag-ong gamut. Ang kriptograpiya sa Internet nagsugod nga gigamit sobra pa sa 20 ka tuig ang milabay, mao nga karon na ang panahon nga daghang mga sertipiko sa ugat hapit na ma-expire.
Ang mga tag-iya sa mga smart TV nga wala mag-update sa software sa Smart TV sa daghang mga tuig mahimong makasugat niini nga problema. Pananglitan, ang bag-ong GlobalSign nga gamut gipagawas kaniadtong 2012, ug pagkahuman sa pipila ka mga karaan nga Smart TV dili makahimo usa ka kadena niini, tungod kay wala sila niini nga gamut CA. Sa partikular, kini nga mga kliyente wala makahimo og usa ka luwas nga koneksyon sa bbc.co.uk nga website. Aron masulbad ang problema, ang mga administrador sa BBC kinahanglan nga mogamit usa ka limbong: sila pinaagi sa dugang nga intermediate nga mga sertipiko, gamit ang daan nga mga gamot ΠΈ , nga wala pa madunot.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Intermediate) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (Intermediate)
Kini usa ka temporaryo nga solusyon. Ang problema dili mawala gawas kung imong i-update ang software sa kliyente. Ang usa ka intelihenteng TV usa ka limitado nga gamit nga kompyuter nga nagpadagan sa Linux. Ug kung walaβy mga update, ang mga sertipiko sa ugat niini dili kalikayan nga madunot.
Kini magamit sa tanan nga mga aparato, dili lamang sa mga TV. Kung adunay ka bisan unsang aparato nga konektado sa Internet ug kana gi-anunsyo ingon usa ka "smart" nga aparato, nan ang problema sa dunot nga mga sertipiko hapit sigurado nga adunay kalabotan niini. Kung ang aparato dili ma-update, ang root CA store mahimong karaan sa paglabay sa panahon ug sa kadugayan ang problema motungha. Unsa ka dali nga mahitabo ang problema nagdepende kung kanus-a gi-update ang root store. Mahimong pila ka tuig kini sa wala pa ang aktwal nga petsa sa pagpagawas sa aparato.
Pinaagi sa dalan, kini ang problema ngano nga ang pipila ka dagkong mga platform sa media dili makagamit sa modernong awtomatik nga mga awtoridad sa sertipiko sama sa Let's Encrypt, misulat si Scott Helme. Dili sila angay alang sa mga smart TV, ug ang gidaghanon sa mga ugat gamay ra kaayo aron magarantiya ang suporta sa sertipiko sa mga kabilin nga aparato. Kung dili, ang TV dili gyud makahimo sa paglansad sa mga modernong serbisyo sa streaming.
Ang pinakabag-o nga insidente sa AddTrust nagpakita nga bisan ang dagkong mga kompanya sa IT dili andam sa kamatuoran nga ang root certificate matapos.
Adunay usa lamang ka solusyon sa problema - update. Ang mga nag-develop sa mga intelihenteng aparato kinahanglan maghatag usa ka mekanismo alang sa pag-update sa software ug mga sertipiko sa ugat nga daan. Sa laing bahin, dili kini mapuslanon alang sa mga tiggama aron masiguro ang operasyon sa ilang mga aparato pagkahuman matapos ang panahon sa garantiya.
Source: www.habr.com