Er mwyn i borwr ddilysu gwefan, mae'n cyflwyno cadwyn dystysgrif ddilys iddo'i hun. Dangosir cadwyn nodweddiadol uchod, a gall fod mwy nag un dystysgrif ganolradd. Y nifer lleiaf o dystysgrifau mewn cadwyn ddilys yw tair.
Y dystysgrif gwraidd yw calon yr awdurdod tystysgrif. Mae wedi'i ymgorffori'n llythrennol yn eich OS neu'ch porwr, mae'n bresennol yn gorfforol ar eich dyfais. Ni ellir ei newid o ochr y gweinydd. Mae angen diweddariad gorfodol o'r OS neu'r firmware ar y ddyfais.
Arbenigwr Diogelwch Scott Helme , y bydd y prif broblemau'n codi gyda'r awdurdod ardystio Let's Encrypt, oherwydd heddiw dyma'r CA mwyaf poblogaidd ar y Rhyngrwyd, a bydd ei dystysgrif gwraidd yn mynd yn ddrwg yn fuan. Newid gwraidd Let's Encrypt .
Mae tystysgrifau diwedd a chanolradd yr awdurdod ardystio (CA) yn cael eu danfon i'r cleient o'r gweinydd, ac mae'r dystysgrif gwraidd gan y cleient eisoes wedi, felly gyda'r casgliad hwn o dystysgrifau gall un adeiladu cadwyn a dilysu gwefan.
Y broblem yw bod gan bob tystysgrif ddyddiad dod i ben, ac ar ôl hynny mae angen ei disodli. Er enghraifft, o 1 Medi, 2020, maent yn bwriadu cyflwyno cyfyngiad ar gyfnod dilysrwydd tystysgrifau gweinydd TLS yn y porwr Safari .
Mae hyn yn golygu y bydd yn rhaid i ni i gyd amnewid ein tystysgrifau gweinydd o leiaf bob 12 mis. Mae'r cyfyngiad hwn yn berthnasol i dystysgrifau gweinydd yn unig; mae'n dim yn berthnasol i dystysgrifau CA gwraidd.
Mae tystysgrifau CA yn cael eu llywodraethu gan set wahanol o reolau ac felly mae ganddynt derfynau dilysrwydd gwahanol. Mae'n gyffredin iawn dod o hyd i dystysgrifau canolradd gyda chyfnod dilysrwydd o 5 mlynedd a thystysgrifau gwraidd gyda bywyd gwasanaeth o hyd yn oed 25 mlynedd!
Fel arfer nid oes unrhyw broblemau gyda thystysgrifau canolradd, oherwydd maent yn cael eu cyflenwi i'r cleient gan y gweinydd, sydd ei hun yn newid ei dystysgrif ei hun yn llawer amlach, felly mae'n syml yn disodli'r un canolradd yn y broses. Mae'n eithaf hawdd ei ddisodli ynghyd â thystysgrif y gweinydd, yn wahanol i'r dystysgrif CA gwraidd.
Fel y dywedasom eisoes, mae'r CA gwraidd wedi'i ymgorffori'n uniongyrchol yn y ddyfais cleient ei hun, i'r OS, porwr neu feddalwedd arall. Mae newid y CA gwraidd y tu hwnt i reolaeth y wefan. Mae hyn yn gofyn am ddiweddariad ar y cleient, boed yn ddiweddariad OS neu feddalwedd.
Mae rhai CAs gwraidd wedi bod o gwmpas ers amser maith, rydym yn sôn am 20-25 mlynedd. Cyn bo hir bydd rhai o'r CA gwreiddiau hynaf yn nesáu at ddiwedd eu bywyd naturiol, mae eu hamser bron ar ben. I'r rhan fwyaf ohonom ni fydd hyn yn broblem o gwbl oherwydd bod CA wedi creu tystysgrifau gwraidd newydd ac maent wedi'u dosbarthu ledled y byd mewn diweddariadau OS a porwr ers blynyddoedd lawer. Ond os nad yw rhywun wedi diweddaru eu OS neu borwr mewn amser hir iawn, mae'n fath o broblem.
Digwyddodd y sefyllfa hon ar Fai 30, 2020 am 10:48:38 GMT. Dyma'r union amser pan gan awdurdod ardystio Comodo (Sectigo).
Fe'i defnyddiwyd ar gyfer traws-arwyddo i sicrhau cydnawsedd â dyfeisiau etifeddiaeth nad oes ganddynt y dystysgrif gwraidd USERTrust newydd yn eu storfa.
Yn anffodus, cododd problemau nid yn unig mewn hen borwyr, ond hefyd mewn cleientiaid nad oeddent yn borwyr yn seiliedig ar OpenSSL 1.0.x, LibreSSL a . Er enghraifft, mewn blychau pen set , gwasanaeth , yn Fortinet, Cymwysiadau Chargify, ar y llwyfan .NET Core 2.0 ar gyfer Linux a .
Tybiwyd y byddai'r broblem yn effeithio ar systemau etifeddiaeth yn unig (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, ac ati), oherwydd gall porwyr modern ddefnyddio'r ail dystysgrif gwraidd USERTRust. Ond mewn gwirionedd, dechreuodd methiannau mewn cannoedd o wasanaethau gwe a ddefnyddiodd y llyfrgelloedd OpenSSL 1.0.x a GnuTLS am ddim. Nid oedd modd sefydlu cysylltiad diogel mwyach gyda neges gwall yn nodi bod y dystysgrif wedi dyddio.
Nesaf - Gadewch i ni Amgryptio
Enghraifft dda arall o'r newid CA gwraidd sydd ar ddod yw awdurdod tystysgrif Let's Encrypt. Mwy roeddent yn bwriadu newid o gadwyn Identrust i'w cadwyn Wraidd ISRG eu hunain, ond mae hyn .
“Oherwydd pryderon ynghylch diffyg mabwysiadu gwraidd ISRG ar ddyfeisiau Android, rydym wedi penderfynu symud y dyddiad trosglwyddo gwreiddiau brodorol o 8 Gorffennaf, 2019 i Orffennaf 8, 2020,” meddai Let's Encrypt mewn datganiad.
Bu'n rhaid gohirio'r dyddiad oherwydd problem o'r enw “lluosogi gwreiddiau”, neu'n fwy manwl gywir, diffyg lluosogiad gwreiddiau, pan nad yw CA gwraidd wedi'i ddosbarthu'n eang iawn ar draws yr holl gleientiaid.
Ar hyn o bryd mae Let's Encrypt yn defnyddio tystysgrif ganolradd wedi'i thraws-lofnodi wedi'i chadwyni i'r IdenTrust DST Root CA X3. Cyhoeddwyd y dystysgrif gwraidd hon yn ôl ym mis Medi 2000 a daw i ben ar 30 Medi, 2021. Tan hynny, mae Let's Encrypt yn bwriadu mudo i'w ISRG Root X1 hunan-lofnodedig ei hun.
Rhyddhawyd gwraidd ISRG ar 4 Mehefin, 2015. Ar ôl hyn, dechreuodd y broses o'i gymeradwyo fel awdurdod ardystio, a ddaeth i ben . O'r pwynt hwn ymlaen, roedd y CA gwraidd ar gael i bob cleient trwy system weithredu neu ddiweddariad meddalwedd. Y cyfan oedd yn rhaid i chi ei wneud oedd gosod y diweddariad.
Ond dyna'r broblem.
Os nad yw'ch ffôn symudol, teledu neu ddyfais arall wedi'i ddiweddaru ers dwy flynedd, sut y bydd yn gwybod am dystysgrif gwraidd ISRG Root X1 newydd? Ac os na fyddwch chi'n ei osod ar y system, yna bydd eich dyfais yn annilysu holl dystysgrifau gweinydd Let's Encrypt cyn gynted ag y bydd Let's Encrypt yn newid i wreiddyn newydd. Ac yn ecosystem Android mae yna lawer o ddyfeisiau hen ffasiwn nad ydyn nhw wedi'u diweddaru ers amser maith.
ecosystem Android
Dyma pam y bu i Let's Encrypt ohirio symud i'w wraidd ISRG ei hun ac mae'n dal i ddefnyddio canolradd sy'n mynd i lawr i wraidd IdenTrust. Ond bydd yn rhaid gwneud y trawsnewid beth bynnag. Ac mae dyddiad y newid gwraidd yn cael ei neilltuo .
I wirio bod gwraidd ISRG X1 wedi'i osod ar eich dyfais (teledu, blwch pen set neu gleient arall), agorwch y safle prawf . Os nad oes rhybudd diogelwch yn ymddangos, yna mae popeth fel arfer yn iawn.
Nid Let's Encrypt yw'r unig un sy'n wynebu'r her o fudo i wreiddyn newydd. Dechreuwyd defnyddio criptograffi ar y Rhyngrwyd ychydig dros 20 mlynedd yn ôl, felly nawr yw'r amser pan fydd llawer o dystysgrifau gwraidd ar fin dod i ben.
Gall perchnogion setiau teledu clyfar nad ydynt wedi diweddaru meddalwedd Smart TV ers blynyddoedd lawer ddod ar draws y broblem hon. Er enghraifft, y gwraidd GlobalSign newydd ei ryddhau yn 2012, ac ar ôl na all rhai hen setiau teledu clyfar adeiladu cadwyn iddo, oherwydd yn syml, nid oes ganddynt CA gwraidd hwn. Yn benodol, nid oedd y cleientiaid hyn yn gallu sefydlu cysylltiad diogel â gwefan bbc.co.uk. I ddatrys y broblem, bu'n rhaid i weinyddwyr y BBC droi at dric: nhw trwy dystysgrifau canolradd ychwanegol, gan ddefnyddio hen wreiddiau и , nad ydynt eto wedi pydru.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Canolradd) GlobalSign Root CA - R5 (Canolradd) GlobalSign Root CA - R3 (Canolradd)
Ateb dros dro yw hwn. Ni fydd y broblem yn diflannu oni bai eich bod yn diweddaru meddalwedd y cleient. Yn ei hanfod, cyfrifiadur swyddogaeth gyfyngedig sy'n rhedeg Linux yw teledu clyfar. A heb ddiweddariadau, mae'n anochel y bydd ei dystysgrifau gwraidd yn pydru.
Mae hyn yn berthnasol i bob dyfais, nid setiau teledu yn unig. Os oes gennych unrhyw ddyfais sydd wedi'i chysylltu â'r Rhyngrwyd ac a hysbysebwyd fel dyfais “glyfar”, yna mae'r broblem gyda thystysgrifau pwdr bron yn sicr yn ymwneud â hi. Os na chaiff y ddyfais ei diweddaru, bydd storfa gwraidd CA yn mynd yn hen ffasiwn dros amser ac yn y pen draw bydd y broblem yn dod i'r wyneb. Mae pa mor fuan y bydd y broblem yn digwydd yn dibynnu ar ba bryd y cafodd y storfa wreiddiau ei diweddaru ddiwethaf. Gall hyn fod sawl blwyddyn cyn dyddiad rhyddhau gwirioneddol y ddyfais.
Gyda llaw, dyma'r broblem pam na all rhai llwyfannau cyfryngau mawr ddefnyddio awdurdodau tystysgrif awtomataidd modern fel Let's Encrypt, yn ysgrifennu Scott Helme. Nid ydynt yn addas ar gyfer setiau teledu clyfar, ac mae nifer y gwreiddiau yn rhy fach i warantu cefnogaeth tystysgrif ar ddyfeisiau etifeddiaeth. Fel arall, ni fydd teledu yn gallu lansio gwasanaethau ffrydio modern.
Dangosodd y digwyddiad diweddaraf gydag AddTrust nad yw hyd yn oed cwmnïau TG mawr yn barod am y ffaith bod y dystysgrif gwraidd yn dod i ben.
Dim ond un ateb sydd i'r broblem - diweddariad. Rhaid i ddatblygwyr dyfeisiau clyfar ddarparu mecanwaith ar gyfer diweddaru meddalwedd a thystysgrifau gwraidd ymlaen llaw. Ar y llaw arall, nid yw'n broffidiol i weithgynhyrchwyr sicrhau gweithrediad eu dyfeisiau ar ôl i'r cyfnod gwarant ddod i ben.
Ffynhonnell: hab.com