Προκειμένου ένα πρόγραμμα περιήγησης να ελέγξει την ταυτότητα ενός ιστότοπου, παρουσιάζεται ως έγκυρη αλυσίδα πιστοποιητικών. Μια τυπική αλυσίδα εμφανίζεται στο επάνω μέρος και μπορεί να έχει περισσότερα από ένα ενδιάμεσα πιστοποιητικά. Ο ελάχιστος αριθμός πιστοποιητικών σε μια έγκυρη αλυσίδα είναι τρία.
Το πιστοποιητικό ρίζας είναι η καρδιά της αρχής πιστοποίησης. Είναι κυριολεκτικά ενσωματωμένο στο λειτουργικό σύστημα ή στο πρόγραμμα περιήγησής σας, υπάρχει φυσικά στη συσκευή σας. Δεν μπορείτε να το αλλάξετε από την πλευρά του διακομιστή. Πρέπει να αναγκάσετε να ενημερώσετε το λειτουργικό σύστημα ή το υλικολογισμικό στη συσκευή σας.
Ειδικός Ασφαλείας Scott Helme ότι τα κύρια προβλήματα θα προκύψουν με την αρχή πιστοποιητικών Let's Encrypt, επειδή σήμερα είναι η πιο δημοφιλής αρχή έκδοσης πιστοποιητικών στο Διαδίκτυο και το ριζικό πιστοποιητικό της θα σβήσει σύντομα. Αλλαγή του Let's Encrypt Root .
Τα πιστοποιητικά τελικής και ενδιάμεσης αρχής έκδοσης πιστοποιητικών (CA) παραδίδονται στον πελάτη από τον διακομιστή, ενώ το πιστοποιητικό ρίζας στον πελάτη έχει ήδη, έτσι με αυτήν τη συλλογή πιστοποιητικών, μπορείτε να συνδέσετε και να ελέγξετε την ταυτότητα του ιστότοπου.
Το πρόβλημα είναι ότι κάθε πιστοποιητικό έχει ημερομηνία λήξης, μετά την οποία πρέπει να αντικατασταθεί. Για παράδειγμα, από την 1η Σεπτεμβρίου 2020, το πρόγραμμα περιήγησης Safari σχεδιάζει να εισαγάγει έναν περιορισμό στην περίοδο ισχύος των πιστοποιητικών TLS διακομιστή .
Αυτό σημαίνει ότι όλοι θα πρέπει να αντικαθιστούμε τα πιστοποιητικά διακομιστή τουλάχιστον κάθε 12 μήνες. Αυτός ο περιορισμός ισχύει μόνο για πιστοποιητικά διακομιστή όχι ισχύει για πιστοποιητικά CA root.
Τα πιστοποιητικά ΑΠ διέπονται από διαφορετικό σύνολο κανόνων και επομένως έχουν διαφορετικά όρια εγκυρότητας. Είναι πολύ συνηθισμένο να βλέπεις ενδιάμεσα πιστοποιητικά με διάρκεια ισχύος 5 χρόνια και πιστοποιητικά root με διάρκεια ζωής ακόμη και 25 χρόνια!
Συνήθως δεν υπάρχουν προβλήματα με τα ενδιάμεσα πιστοποιητικά, επειδή παρέχονται στον πελάτη από τον διακομιστή, ο οποίος αλλάζει το δικό του πιστοποιητικό πολύ πιο συχνά, έτσι ώστε απλώς να αντικαθιστά το ενδιάμεσο κατά τη διάρκεια αυτής της διαδικασίας. Είναι αρκετά εύκολο να αντικατασταθεί μαζί με το πιστοποιητικό διακομιστή, σε αντίθεση με το πιστοποιητικό CA root.
Όπως έχουμε ήδη πει, η αρχή CA είναι ενσωματωμένη απευθείας στην ίδια τη συσκευή πελάτη, στο λειτουργικό σύστημα, στο πρόγραμμα περιήγησης ή σε άλλο λογισμικό. Η αλλαγή της CA ρίζας είναι πέρα από τον έλεγχο του ιστότοπου. Αυτό απαιτεί ενημέρωση του προγράμματος-πελάτη, είτε πρόκειται για ενημέρωση λειτουργικού είτε λογισμικού.
Ορισμένες CA root υπάρχουν εδώ και πολύ καιρό, περίπου 20-25 χρόνια. Σύντομα μερικά από τα παλαιότερα CA root θα πλησιάσουν στο τέλος της φυσικής τους ζωής, ενώ ο χρόνος τους έχει σχεδόν τελειώσει. Για τους περισσότερους από εμάς, αυτό δεν θα είναι καθόλου πρόβλημα, επειδή οι CA έχουν δημιουργήσει νέα πιστοποιητικά ρίζας και έχουν διανεμηθεί σε όλο τον κόσμο σε ενημερώσεις λειτουργικού συστήματος και προγράμματος περιήγησης εδώ και χρόνια. Αλλά αν κάποιος δεν έχει ενημερώσει το λειτουργικό σύστημα ή το πρόγραμμα περιήγησής του για πολύ καιρό, αυτό είναι κάπως πρόβλημα.
Αυτή η κατάσταση προέκυψε στις 30 Μαΐου 2020 στις 10:48:38 GMT. Αυτή είναι η ακριβής στιγμή που από την Comodo Certificate Authority (Sectigo).
Χρησιμοποιήθηκε για διασταυρούμενη υπογραφή για να διασφαλιστεί η συμβατότητα με παλαιού τύπου συσκευές που δεν διαθέτουν το νέο ριζικό πιστοποιητικό USERTrust.
Δυστυχώς, προβλήματα προέκυψαν όχι μόνο σε προγράμματα περιήγησης παλαιού τύπου, αλλά και σε προγράμματα-πελάτες που δεν βασίζονται σε προγράμματα περιήγησης OpenSSL 1.0.x, LibreSSL και . Για παράδειγμα, σε TV boxes , υπηρεσία , στο Fortinet, Chargify, .NET Core 2.0 σε Linux και .
Θεωρήθηκε ότι το πρόβλημα θα επηρέαζε μόνο συστήματα παλαιού τύπου (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, κ.λπ.), καθώς τα σύγχρονα προγράμματα περιήγησης μπορούν να χρησιμοποιήσουν το δεύτερο πιστοποιητικό ρίζας USERTRust. Αλλά στην πραγματικότητα, εκατοντάδες υπηρεσίες Ιστού που χρησιμοποιούσαν τις δωρεάν βιβλιοθήκες OpenSSL 1.0.x και GnuTLS άρχισαν να αποτυγχάνουν. Δεν ήταν δυνατή η δημιουργία ασφαλούς σύνδεσης με ένα παλιό σφάλμα πιστοποιητικού.
Επόμενο - Ας κρυπτογραφήσουμε
Ένα άλλο καλό παράδειγμα μιας επερχόμενης αλλαγής ΑΠ ρίζας είναι το Let's Encrypt CA. Περισσότερο σχεδίαζαν να μετακινηθούν από την αλυσίδα Identrust στη δική τους αλυσίδα ISRG Root, αλλά αυτό .
«Λόγω ανησυχιών σχετικά με την υποδιάδοση της ρίζας ISRG σε συσκευές Android, αποφασίσαμε να μετακινήσουμε την ημερομηνία μετάβασης στην εγγενή ρίζα από τις 8 Ιουλίου 2019 στις 8 Ιουλίου 2020», ανέφερε η Let's Encrypt σε επίσημη ανάρτηση.
Η ημερομηνία έπρεπε να επαναπρογραμματιστεί λόγω ενός προβλήματος που ονομάζεται "διάδοση ρίζας", ή πιο συγκεκριμένα, η έλλειψη διάδοσης ρίζας όταν η ΑΠ ρίζας δεν διανέμεται ευρέως σε όλους τους πελάτες.
Το Let's Encrypt χρησιμοποιεί επί του παρόντος ένα ενδιάμεσο πιστοποιητικό με διασταυρούμενη υπογραφή που συνδέεται με τη ρίζα IdenTrust DST Root CA X3. Αυτό το ριζικό πιστοποιητικό εκδόθηκε τον Σεπτέμβριο του 2000 και θα λήξει στις 30 Σεπτεμβρίου 2021. Μέχρι τότε, η Let's Encrypt σχεδιάζει να μεταβεί στο δικό της υπογεγραμμένο ISRG Root X1.
Η ρίζα ISRG κυκλοφόρησε στις 4 Ιουνίου 2015. Μετά από αυτό ξεκίνησε η διαδικασία έγκρισής του ως αρχή πιστοποίησης, η οποία ολοκληρώθηκε . Από εκείνο το σημείο και μετά, η αρχή CA έγινε διαθέσιμη σε όλους τους πελάτες μέσω ενός λειτουργικού συστήματος ή μιας ενημέρωσης λογισμικού. Το μόνο που έπρεπε να κάνετε ήταν να εγκαταστήσετε την ενημέρωση.
Εκεί όμως βρίσκεται το πρόβλημα.
Εάν το κινητό σας τηλέφωνο, η τηλεόραση ή άλλη συσκευή σας δεν έχει ενημερωθεί για δύο χρόνια - πώς γνωρίζει για το νέο ριζικό πιστοποιητικό ISRG Root X1; Και αν δεν είναι εγκατεστημένο στο σύστημα, τότε όλα τα πιστοποιητικά διακομιστή Let's Encrypt θα ακυρωθούν από τη συσκευή σας μόλις το Let's Encrypt μετακινηθεί σε νέα ρίζα. Και στο οικοσύστημα Android, υπάρχουν πολλές απαρχαιωμένες συσκευές που δεν έχουν ενημερωθεί εδώ και πολύ καιρό.
Οικοσύστημα Android
Αυτός είναι ο λόγος για τον οποίο το Let's Encrypt έχει αναβάλει τη μετάβαση στη δική του ρίζα ISRG και εξακολουθεί να χρησιμοποιεί ένα ενδιάμεσο που κατέρχεται στη ρίζα IdenTrust. Αλλά η μετάβαση θα πρέπει να γίνει ούτως ή άλλως. Και ορίζεται η ημερομηνία της αλλαγής ρίζας .
Για να ελέγξετε ότι η συσκευή σας (τηλεόραση, αποκωδικοποιητής ή άλλος πελάτης) έχει εγκατεστημένη ρίζα ISRG X1, ανοίξτε την τοποθεσία δοκιμής . Εάν δεν βλέπετε μια προειδοποίηση ασφαλείας, συνήθως είστε εντάξει.
Το Let's Encrypt δεν είναι το μόνο που αντιμετωπίζει το πρόβλημα της μετάβασης σε μια νέα ρίζα. Η κρυπτογραφία στο Διαδίκτυο άρχισε να χρησιμοποιείται λίγο περισσότερο από 20 χρόνια πριν, επομένως αυτή τη στιγμή είναι η ώρα για τη λήξη πολλών πιστοποιητικών root.
Οι κάτοχοι έξυπνων τηλεοράσεων που δεν έχουν ενημερώσει το λογισμικό Smart TV τους για πολλά χρόνια μπορεί να αντιμετωπίσουν ένα τέτοιο πρόβλημα. Για παράδειγμα, η νέα ρίζα GlobalSign κυκλοφόρησε το 2012 και μετά από αυτό ορισμένες παλιές έξυπνες τηλεοράσεις δεν μπορούν να δημιουργήσουν μια αλυσίδα σε αυτήν, επειδή απλά δεν έχουν αυτή τη ρίζα CA. Συγκεκριμένα, αυτοί οι πελάτες δεν μπορούσαν να δημιουργήσουν μια ασφαλή σύνδεση με το bbc.co.uk. Για να λύσουν το πρόβλημα, οι διαχειριστές του BBC χρειάστηκε να καταφύγουν σε ένα κόλπο: αυτοί μέσω πρόσθετων ενδιάμεσων πιστοποιητικών, χρησιμοποιώντας παλιές ρίζες и που δεν είναι ακόμη σάπια.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Intermediate) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (Intermediate)
Αυτή είναι μια προσωρινή λύση. Το πρόβλημα δεν θα εξαφανιστεί εάν δεν ενημερώσετε το λογισμικό πελάτη. Μια έξυπνη τηλεόραση είναι ουσιαστικά ένας υπολογιστής Linux με περιορισμένη λειτουργικότητα. Και χωρίς ενημερώσεις, τα πιστοποιητικά ρίζας του αναπόφευκτα θα χαλάσουν.
Αυτό ισχύει για όλες τις συσκευές, όχι μόνο για τηλεοράσεις. Εάν έχετε κάποια συσκευή που είναι συνδεδεμένη στο Διαδίκτυο και που έχει διαφημιστεί ως «έξυπνη» συσκευή, τότε το πρόβλημα με τα σάπια πιστοποιητικά σχετίζεται σχεδόν σίγουρα με αυτήν. Εάν η συσκευή δεν ενημερωθεί, τότε το ριζικό κατάστημα CA θα είναι ξεπερασμένο με την πάροδο του χρόνου και τελικά το πρόβλημα θα επανεμφανιστεί. Το πόσο σύντομα θα παρουσιαστεί το πρόβλημα εξαρτάται από το πότε ενημερώθηκε τελευταία φορά το root store. Αυτό μπορεί να είναι αρκετά χρόνια πριν από την πραγματική ημερομηνία κυκλοφορίας της συσκευής.
Παρεμπιπτόντως, αυτό είναι το πρόβλημα, γιατί ορισμένες μεγάλες πλατφόρμες μέσων δεν μπορούν να χρησιμοποιήσουν σύγχρονες αυτοματοποιημένες αρχές πιστοποιητικών όπως το Let's Encrypt, γράφει ο Scott Helme. Δεν είναι κατάλληλα για έξυπνες τηλεοράσεις και ο αριθμός των ριζών είναι πολύ μικρός για να εγγυηθεί την υποστήριξη πιστοποιητικού σε παλαιού τύπου συσκευές. Διαφορετικά, η τηλεόραση απλά δεν θα μπορεί να ξεκινήσει σύγχρονες υπηρεσίες ροής.
Το τελευταίο περιστατικό AddTrust έδειξε ότι ακόμη και μεγάλες εταιρείες πληροφορικής δεν είναι έτοιμες για το γεγονός ότι λήγει το πιστοποιητικό root.
Υπάρχει μόνο μία λύση στο πρόβλημα - ενημέρωση. Οι προγραμματιστές έξυπνων συσκευών θα πρέπει να παρέχουν έναν μηχανισμό για την ενημέρωση λογισμικού και πιστοποιητικών root εκ των προτέρων. Από την άλλη πλευρά, είναι ασύμφορο για τους κατασκευαστές να διασφαλίζουν τη λειτουργία των συσκευών τους μετά τη λήξη της περιόδου εγγύησης.
Πηγή: www.habr.com