Per un navigatore per autentificà un situ web, si prisenta cù una catena di certificatu validu. Una catena tipica hè mostrata sopra, è pò esse più di un certificatu intermediu. U numeru minimu di certificati in una catena valida hè trè.
U certificatu root hè u core di l'autorità di certificazione. Hè literalmente integratu in u vostru sistema operativu o navigatore, hè fisicamente presente in u vostru dispositivu. Ùn pò micca esse cambiatu da u latu di u servitore. Un aghjurnamentu furzatu di u SO o firmware nantu à u dispusitivu hè necessariu.
Specialista di sicurezza Scott Helme , chì i prublemi principali surghjeranu cù l'autorità di certificazione Let's Encrypt, perchè oghje hè u CA più populari in Internet, è u so certificatu di a radica prestu prestu male. Cambia a radica Let's Encrypt .
I certificati finali è intermedii di l'autorità di certificazione (CA) sò mandati à u cliente da u servitore, è u certificatu root hè da u cliente. dighjà, cusì cun questa cullizzioni di certificati si pò custruisce una catena è autentificà un situ web.
U prublema hè chì ogni certificatu hà una data di scadenza, dopu chì deve esse rimpiazzatu. Per esempiu, da u 1 di settembre di u 2020, pensanu à introduci una limitazione di u periodu di validità di i certificati TLS di u servitore in u navigatore Safari. .
Questu significa chì tutti avemu da rimpiazzà i nostri certificati di u servitore almenu ogni 12 mesi. Questa restrizione s'applica solu à i certificati di u servitore; it ùn si applica à i certificati CA root.
I certificati CA sò guvernati da un inseme sfarente di regule è dunque anu limiti di validità differenti. Hè assai cumuni di truvà certificati intermedi cù un periodu di validità di 5 anni è certificati radichi cù una vita di serviziu ancu di 25 anni!
Di solitu ùn ci sò micca prublemi cù i certificati intermedii, perchè sò furniti à u cliente da u servitore, chì ellu stessu cambia u so propiu certificatu assai più spessu, cusì solu rimpiazzà l'intermediu in u prucessu. Hè abbastanza faciule da rimpiazzà cù u certificatu di u servitore, à u cuntrariu di u certificatu CA root.
Comu avemu digià dettu, u CA root hè custruitu direttamente in u dispusitivu di u cliente stessu, in u SO, u navigatore o un altru software. U cambiamentu di a CA root hè fora di u cuntrollu di u situ web. Questu hè bisognu di un aghjurnamentu di u cliente, sia un OS o un aghjurnamentu di software.
Certi CA di razzi sò stati per un tempu assai longu, parlemu di 20-25 anni. Prestu alcuni di i CA di a radica più antica avvicinà à a fine di a so vita naturale, u so tempu hè guasi. Per a maiò parte di noi, questu ùn serà micca un prublema perchè e CA anu creatu novi certificati radichi è sò stati distribuiti in u mondu in l'aghjurnamenti di u SO è di u navigatore per parechji anni. Ma se qualchissia ùn hà micca aghjurnatu u so SO o u so navigatore in un tempu assai longu, hè una spezia di prublema.
Sta situazione hè accaduta u 30 di maghju di u 2020 à 10:48:38 GMT. Questu hè u tempu esatta quandu da l'autorità di certificazione Comodo (Sectigo).
Hè stata utilizata per a firma incruciata per assicurà a cumpatibilità cù i dispositi legati chì ùn anu micca u novu certificatu di radica USERTrust in a so tenda.
Sfortunatamente, i prublemi ùn sò micca solu in i navigatori legacy, ma ancu in i clienti chì ùn sò micca navigatori basati nantu à OpenSSL 1.0.x, LibreSSL è . Per esempiu, in set-top boxes , serviziu , in Fortinet, applicazioni Chargify, nantu à a piattaforma .NET Core 2.0 per Linux è .
Hè presumitu chì u prublema avaria solu i sistemi legati (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, etc.), postu chì i navigatori muderni ponu utilizà u secondu certificatu radice USERTRust. Ma in fattu, i fallimenti cuminciaru in centinaie di servizii web chì anu utilizatu e librerie OpenSSL 1.0.x è GnuTLS gratuiti. Una cunnessione sicura ùn pudia più esse stabilita cù un missaghju d'errore chì indicava chì u certificatu era fora di data.
Next - Let's Encrypt
Un altru bon esempiu di u prossimu cambiamentu CA di a radica hè l'autorità di certificazione Let's Encrypt. Più anu pensatu di passà da a catena Identrust à a so propria catena ISRG Root, ma questu .
"A causa di preoccupazioni per a mancanza di adopzione di a radica ISRG in i dispositi Android, avemu decisu di trasfurmà a data di transizione di a radica nativa da l'8 di lugliu di u 2019 à l'8 di lugliu di u 2020", hà dettu Let's Encrypt in una dichjarazione.
A data duvia esse postponata per un prublema chjamatu "propagazione di a radica", o più precisamente, a mancanza di propagazione di a radica, quandu a CA ràdica ùn hè micca assai largamente distribuita in tutti i clienti.
Let's Encrypt usa attualmente un certificatu intermediu firmatu incruciatu incatenatu à l'IdenTrust DST Root CA X3. Stu certificatu root hè statu emessu in settembre di u 2000 è scade u 30 di settembre di u 2021. Finu à quì, Let's Encrypt pensa à migrà à u so propiu ISRG Root X1 autofirmatu.
ISRG root liberatu u 4 di ghjugnu 2015. Dopu questu, u prucessu di a so appruvazioni cum'è una autorità di certificazione principia, chì finisci . Da questu puntu, a CA root era dispunibule per tutti i clienti attraversu un sistema operatore o un aghjurnamentu di software. Tuttu ciò chì duvete fà era stallà l'aghjurnamentu.
Ma questu hè u prublema.
Se u vostru telefuninu, TV o altru dispositivu ùn hè micca aghjurnatu dapoi dui anni, cumu si cunnoscerà u novu certificatu radice ISRG Root X1? È se ùn l'installate micca in u sistema, allora u vostru dispositivu invaliderà tutti i certificati di u servitore Let's Encrypt appena Let's Encrypt cambia à una nova radica. È in l'ecosistema Android ci sò parechji dispositi obsoleti chì ùn sò micca aghjurnati per un bellu pezzu.
Ecosistema Android
Hè per quessa Let's Encrypt hà ritardatu u muvimentu in a so propria radica ISRG è usa sempre un intermediariu chì scende à a radica IdenTrust. Ma a transizione deve esse fatta in ogni casu. È a data di u cambiamentu radicali hè attribuita .
Per verificà chì ISRG X1 root hè stallatu nantu à u vostru dispositivu (TV, set-top box o altru cliente), apre u situ di prova. . Se ùn ci hè micca avvisu di sicurità, allora tuttu hè di solitu bè.
Let's Encrypt ùn hè micca l'unicu chì affruntà a sfida di migrà à una nova radica. A criptografia in Internet hà cuminciatu à esse usata pocu più di 20 anni fà, cusì hè avà u tempu quandu parechji certificati radichi sò per caducà.
I pruprietarii di smart TV chì ùn anu micca aghjurnatu u software Smart TV per parechji anni ponu scontru stu prublema. Per esempiu, a nova radica GlobalSign hè stata liberata in u 2012, è dopu à qualchi vechji Smart TV ùn ponu micca custruisce una catena à questu, perchè simpricimenti ùn anu micca sta radica CA. In particulare, questi clienti ùn anu pussutu stabilisce una cunnessione sicura à u situ web bbc.co.uk. Per risolve u prublema, l'amministratori di a BBC anu da ricurdà à un truccu: elli attraversu certificati intermedi supplementari, usendu radiche antiche и , chì ùn sò ancu andati putriti.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Intermediate) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (Intermediate)
Questa hè una suluzione tempurale. U prublema ùn sparirà micca, salvu ùn aghjurnà u software di u cliente. Un smart TV hè essenzialmente un computer à funziunalità limitata chì funziona Linux. È senza l'aghjurnamenti, i so certificati radichi diventeranu inevitabbilmente putridu.
Questu hè applicà à tutti i dispositi, micca solu i TV. Sè vo avete ogni dispusitivu chì hè cunnessu à l 'Internet è chì hè statu annunziatu cum'è un dispusitivu "intelligenti", allura lu prublema cù certificati putrici quasi sicuru cuncerna lu. Se u dispusitivu ùn hè micca aghjurnatu, u magazinu di CA radicali diventerà obsoleti cù u tempu è, eventualmente, u prublema serà a superficia. Quantu prestu u prublema si trova dipende da quandu u magazinu radicali hè statu aghjurnatu l'ultima volta. Questu pò esse parechji anni prima di a data di liberazione attuale di u dispusitivu.
A propositu, questu hè u prublema perchè alcune grandi piattaforme media ùn ponu micca aduprà l'autorità di certificatu automatizatu muderni cum'è Let's Encrypt, scrive Scott Helme. Ùn sò micca adattati per i televisori intelligenti, è u numeru di radiche hè troppu chjucu per guarantisce u supportu di certificatu in i dispositi legacy. Altrimenti, a TV ùn serà solu capace di lancià servizii di streaming muderni.
L'ultimu incidente cù AddTrust hà dimustratu chì ancu i grandi cumpagnie IT ùn sò micca preparati per u fattu chì u certificatu di a radica scade.
Ci hè una solu suluzione à u prublema - aghjurnamentu. I sviluppatori di i dispositi intelligenti anu da furnisce un mecanismu per l'aghjurnamentu di u software è i certificati radicali in anticipu. Per d 'altra banda, ùn hè micca prufittuamente per i fabricatori per assicurà u funziunamentu di i so dispusitivi dopu a scadenza di u periodu di garanzia.
Source: www.habr.com