Veebisaidi autentimiseks esitab brauser kehtiva sertifikaadiahela. Eespool on näidatud tüüpiline ahel ja vahesertifikaate võib olla rohkem kui üks. Minimaalne sertifikaatide arv kehtivas ahelas on kolm.
Juursertifikaat on sertifitseerimisasutuse süda. See on sõna otseses mõttes teie operatsioonisüsteemi või brauserisse sisse ehitatud, see on teie seadmes füüsiliselt olemas. Seda ei saa serveri poolelt muuta. Seadme OS-i või püsivara sunnitud värskendamine on vajalik.
Turvaspetsialist Scott Helme , et peamised probleemid tekivad Let's Encrypt sertifitseerimisasutusega, sest täna on see Internetis kõige populaarsem CA ja selle juursertifikaat läheb peagi halvaks. Let's Encrypt juur muutmine .
Sertifitseerimisasutuse (CA) lõpp- ja vahesertifikaadid tarnitakse kliendile serverist ning juursertifikaat on kliendilt juba on, nii et selle sertifikaatide kogumi abil saate luua ahela ja autentida veebisaiti.
Probleem on selles, et igal sertifikaadil on aegumiskuupäev, pärast mida tuleb see välja vahetada. Näiteks plaanivad nad alates 1. septembrist 2020 kehtestada Safari brauseris serveri TLS-i sertifikaatide kehtivusaja piirangu. .
See tähendab, et me kõik peame oma serveri sertifikaate välja vahetama vähemalt iga 12 kuu tagant. See piirang kehtib ainult serveri sertifikaatide kohta; see ei kehtib juur-CA sertifikaatide kohta.
CA sertifikaate reguleerivad erinevad reeglid ja seetõttu on neil erinevad kehtivuspiirangud. Väga levinud on vahesertifikaate, mille kehtivusaeg on 5 aastat ja juursertifikaate, mille kasutusiga on isegi 25 aastat!
Vahesertifikaatidega tavaliselt probleeme ei ole, sest need tarnib kliendile server, kes ise muudab enda sertifikaati palju sagedamini, seega vahetab vahepealse lihtsalt välja. Erinevalt juur-CA sertifikaadist on seda üsna lihtne asendada koos serverisertifikaadiga.
Nagu me juba ütlesime, on juur-CA sisse ehitatud otse kliendi seadmesse, OS-i, brauserisse või muusse tarkvara. Juur-CA muutmine ei ole veebisaidi kontrolli all. See nõuab kliendi värskendamist, olgu see siis OS-i või tarkvaravärskendus.
Mõned juur-CA-d on eksisteerinud väga pikka aega, me räägime 20-25 aastast. Varsti lähenevad mõned vanimad juur-CA-d oma loomuliku eluea lõpule, nende aeg on peaaegu läbi. Enamikule meist pole see probleem, sest CA-d on loonud uued juursertifikaadid ja neid on OS-i ja brauseri värskendustega üle maailma levitatud juba aastaid. Kuid kui keegi pole oma operatsioonisüsteemi või brauserit väga pikka aega värskendanud, on see omamoodi probleem.
See olukord tekkis 30. mail 2020 kell 10:48:38 GMT. See on täpselt aeg, mil Comodo sertifitseerimisasutuselt (Sectigo).
Seda kasutati ristallkirjastamiseks, et tagada ühilduvus pärandseadmetega, mille poes pole uut USERTrusti juursertifikaati.
Kahjuks ei tekkinud probleeme mitte ainult pärandbrauserites, vaid ka mitte-brauseri klientides, mis põhinevad OpenSSL 1.0.x, LibreSSL ja . Näiteks digiboksides , teenindus , Fortinetis Chargify rakendused, .NET Core 2.0 platvormil Linuxile ja .
Eeldati, et probleem puudutab ainult pärandsüsteeme (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 jne), kuna kaasaegsed brauserid saavad kasutada teist USERTRust juursertifikaati. Kuid tegelikult algasid tõrked sadades veebiteenustes, mis kasutasid tasuta OpenSSL 1.0.x ja GnuTLS teeke. Turvalist ühendust ei saanud enam luua ja tõrketeade näitab, et sertifikaat on aegunud.
Järgmine – krüpteerime
Teine hea näide eelseisvast juur-CA muudatusest on Let's Encrypt sertifitseerimisasutus. Rohkem nad kavatsesid Identrusti ketilt üle minna oma ISRG Root ketile, kuid see .
"Seoses murega, et Android-seadmetes ei kasutata ISRG juurt, oleme otsustanud teisaldada algjuurde ülemineku kuupäeva 8. juulist 2019 8. juulini 2020," seisis Let's Encrypti avalduses.
Kuupäeva tuli edasi lükata probleemi tõttu, mida nimetatakse "juure levitamiseks", või täpsemalt juure leviku puudumise tõttu, kui juur-CA pole kõigi klientide vahel väga laialt levinud.
Let's Encrypt kasutab praegu ristallkirjastatud vahesertifikaati, mis on aheldatud IdenTrust DST Root CA X3-ga. See juursertifikaat väljastati 2000. aasta septembris ja see aegub 30. septembril 2021. Seni kavatseb Let's Encrypt minna üle oma allkirjastatud ISRG Root X1-le.
ISRG juur avaldati 4. juunil 2015. Pärast seda algas selle sertifitseerimisasutusena tunnustamise protsess, mis lõppes . Sellest hetkest alates oli juur-CA operatsioonisüsteemi või tarkvarauuenduse kaudu kättesaadav kõigile klientidele. Piisab vaid värskenduse installimisest.
Aga see on probleem.
Kui teie mobiiltelefoni, telerit või muud seadet pole kahe aasta jooksul värskendatud, kuidas see uuest ISRG Root X1 juursertifikaadist teada saab? Ja kui te seda süsteemi ei installi, tühistab teie seade kõik Let's Encrypt serveri sertifikaadid niipea, kui Let's Encrypt lülitub uuele juurfailile. Ja Androidi ökosüsteemis on palju aegunud seadmeid, mida pole pikka aega värskendatud.
Androidi ökosüsteem
Seetõttu lükkas Let's Encrypt oma ISRG-juurele ülemineku edasi ja kasutab endiselt vaheühendit, mis ulatub IdenTrusti juureni. Kuid üleminek tuleb igal juhul teha. Ja juurevahetuse kuupäev on määratud .
Kontrollimaks, kas teie seadmesse (telerisse, digiboksi või muusse klienti) on installitud ISRG X1 juur, avage testsait . Kui turvahoiatust ei ilmu, on tavaliselt kõik korras.
Let's Encrypt pole ainus, kes seisab silmitsi väljakutsega migreeruda uuele juurtele. Internetis hakati krüptograafiat kasutama veidi enam kui 20 aastat tagasi, seega on käes aeg, mil paljud juursertifikaadid hakkavad aeguma.
Selle probleemiga võivad kokku puutuda nutitelerite omanikud, kes pole Smart TV tarkvara aastaid värskendanud. Näiteks uus GlobalSigni juur ilmus 2012. aastal ja pärast seda, kui mõned vanad nutitelerid ei saa sellele ketti ehitada, kuna neil lihtsalt pole seda juur-CA-d. Eelkõige ei suutnud need kliendid luua turvalist ühendust veebisaidiga bbc.co.uk. Probleemi lahendamiseks pidid BBC administraatorid kasutama trikki: nad täiendavate vahesertifikaatide kaudu, kasutades vanu juuri и , mis pole veel mädaks läinud.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (keskmine) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (Intermediate)
See on ajutine lahendus. Probleem ei kao, kui te klienditarkvara ei värskenda. Nutiteler on sisuliselt piiratud funktsionaalsusega arvuti, mis töötab Linuxiga. Ja ilma värskendusteta lähevad selle juursertifikaadid paratamatult mäda.
See kehtib kõigi seadmete, mitte ainult telerite kohta. Kui teil on mõni seade, mis on Internetiga ühendatud ja mida reklaamiti kui "nutikat", siis probleem mädanenud sertifikaatidega puudutab seda peaaegu kindlasti. Kui seadet ei värskendata, vananeb juur-CA pood aja jooksul ja lõpuks ilmneb probleem. Kui kiiresti probleem ilmneb, sõltub sellest, millal juurpoodi viimati värskendati. See võib olla mitu aastat enne seadme tegelikku väljalaskekuupäeva.
Muide, see on probleem, miks mõned suured meediaplatvormid ei saa kasutada kaasaegseid automatiseeritud sertifitseerimisasutusi nagu Let's Encrypt, kirjutab Scott Helme. Need ei sobi nutitelerite jaoks ja juurte arv on liiga väike, et tagada sertifikaatide tugi pärandseadmetes. Vastasel juhul ei saa TV lihtsalt kaasaegseid voogedastusteenuseid käivitada.
Viimane juhtum AddTrustiga näitas, et isegi suured IT-ettevõtted pole juursertifikaadi aegumiseks valmis.
Probleemile on ainult üks lahendus - värskendamine. Nutiseadmete arendajad peavad eelnevalt tagama tarkvara ja juursertifikaatide uuendamise mehhanismi. Teisest küljest ei ole tootjatel tasuv tagada oma seadmete töö pärast garantiiaja lõppemist.
Allikas: www.habr.com