Arakatzaile batek webgune bat autentifikatzeko, baliozko ziurtagiri kate batekin aurkezten du bere burua. Goian kate tipiko bat erakusten da, eta tarteko ziurtagiri bat baino gehiago egon daiteke. Baliozko kate bateko gutxieneko ziurtagiri kopurua hiru da.
Erro-ziurtagiria autoritate ziurtagiri-emailearen bihotza da. Literalki zure OS edo arakatzailean eraikita dago, fisikoki zure gailuan dago. Zerbitzariaren aldetik ezin da aldatu. Gailuko OS edo firmwarearen behartutako eguneratzea beharrezkoa da.
Segurtasun espezialista Scott Helme , arazo nagusiak Let's Encrypt ziurtapen-agintariarekin sortuko direla, gaur egun Interneteko CA ezagunena delako, eta bere erro-ziurtagiria laster okertuko da. Let's Encrypt erroa aldatzea .
Ziurtagiri-agintaritzaren (CA) amaierako eta tarteko ziurtagiriak bezeroari zerbitzaritik bidaltzen zaizkio eta erro-ziurtagiria bezeroarena da. jada, beraz, ziurtagiri bilduma honekin kate bat eraiki eta webgune bat autentifikatu daiteke.
Arazoa da ziurtagiri bakoitzak iraungitze data bat duela, eta horren ostean ordezkatu behar da. Esate baterako, 1ko irailaren 2020etik aurrera, zerbitzariaren TLS ziurtagirien balio-epearen muga bat sartzeko asmoa dute Safari arakatzailean. .
Horrek esan nahi du denok gure zerbitzariaren ziurtagiriak ordezkatu beharko ditugula gutxienez 12 hilabetez behin. Murrizketa hau zerbitzariaren ziurtagiriei soilik aplikatzen zaie; ez Erro CA ziurtagiriei aplikatzen zaie.
CA ziurtagiriak arau multzo ezberdin batek arautzen ditu eta, beraz, baliozkotasun muga desberdinak dituzte. Oso ohikoa da 5 urteko balio-epea duten tarteko ziurtagiriak eta 25 urteko iraupena duten erro-ziurtagiriak aurkitzea!
Normalean ez dago arazorik tarteko ziurtagiriekin, zerbitzariak bezeroari ematen dizkiolako, honek berak askoz ere maizago aldatzen du bere ziurtagiria, beraz, prozesuan bitartekoa ordezkatzen du. Nahiko erraza da zerbitzariaren ziurtagiriarekin batera ordezkatzea, root CA ziurtagiria ez bezala.
Esan dugun bezala, root CA zuzenean bezeroaren gailuan bertan eraikitzen da, sistema eragilean, arakatzailean edo beste software batean. Erro CA aldatzea webgunearen kontroletik kanpo dago. Horrek bezeroaren eguneraketa bat behar du, izan sistema eragilea edo software eguneratzea.
Erro CA batzuk oso aspalditik daude, 20-25 urtez ari gara. Laster erro CA zaharrenetako batzuk beren bizitza naturalaren amaierara hurbilduko dira, beren denbora ia amaitu da. Gutako gehienentzat hau ez da batere arazorik izango CA-ek erro-ziurtagiri berriak sortu dituztelako eta urte askotan zehar mundu osoan banatu dira OS eta arakatzaileen eguneraketetan. Baina norbaitek denbora luzez bere sistema eragilea edo nabigatzailea eguneratu ez badu, arazo bat da.
Egoera hau 30ko maiatzaren 2020ean gertatu zen, 10:48:38 GMT-n. Hau da une zehatza noiz Comodo ziurtapen agintaritzaren (Sectigo).
Sinadura gurutzatua egiteko erabili zen beren dendan USERTrust erro-ziurtagiri berria ez duten gailu zaharrekin bateragarritasuna ziurtatzeko.
Zoritxarrez, arazoak sortu ziren arakatzaile zaharretan ez ezik, OpenSSL 1.0.x, LibreSSL eta OpenSSL XNUMX.x-en oinarritutako arakatzaile ez ziren bezeroetan ere. . Adibidez, set-top boxetan , zerbitzua , Fortineten, Chargify aplikazioak, .NET Core 2.0 plataforman Linux eta .
Arazoak legatutako sistemei (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, etab.) soilik eragingo ziela suposatu zen, arakatzaile modernoek USERTRust erro-ziurtagiriaren bigarren ziurtagiria erabil dezaketelako. Baina hain zuzen ere, porrotak OpenSSL 1.0.x eta GnuTLS liburutegi libreak erabiltzen zituzten ehunka web zerbitzutan hasi ziren. Ezin izan da konexio segururik ezarri ziurtagiria zaharkituta zegoela adierazten duen errore-mezu batekin.
Hurrengoa - Enkriptatu dezagun
Datorren erro CA aldaketaren beste adibide on bat Let's Encrypt ziurtagiri autoritatea da. Gehiago Identrust katetik euren ISRG Root katera pasatzeko asmoa zuten, baina hau .
"Android gailuetan ISRG erroa ez hartzearen kezka dela eta, jatorrizko erroaren trantsizio data 8ko uztailaren 2019tik 8ko uztailaren 2020ra aldatzea erabaki dugu", esan du Let's Encrypt-ek ohar batean.
Data atzeratu behar izan zen, βerroaren hedapenaβ izeneko arazo batengatik, edo, zehatzago esanda, erroaren hedapen ezagatik, erro CA bezero guztietan oso hedatuta ez dagoenean.
Let's Encrypt-ek gaur egun IdenTrust DST Root CA X3-ra kateatutako gurutze-sinadurako tarteko ziurtagiri bat erabiltzen du. Erro-ziurtagiri hau 2000ko irailean eman zen eta 30eko irailaren 2021ean iraungiko da. Ordura arte, Let's Encrypt-ek bere burua sinatutako ISRG Root X1-era migratzeko asmoa du.
ISRG root 4eko ekainaren 2015an kaleratu zen. Horren ostean, ziurtagiri-agintari gisa onartzeko prozesua hasi zen, eta amaitu egin zen . Une honetatik aurrera, root CA bezero guztientzat eskuragarri zegoen sistema eragile edo software eguneratze baten bidez. Egin behar duzun guztia eguneratzea instalatu zen.
Baina hori da arazoa.
Zure telefono mugikorra, telebista edo beste gailua bi urtez eguneratu gabe egon bada, nola jakingo du ISRG Root X1 erro ziurtagiri berria? Eta ez baduzu sisteman instalatzen, zure gailuak Let's Encrypt zerbitzariaren ziurtagiri guztiak baliogabetuko ditu Let's Encrypt erro berri batera aldatzen den bezain pronto. Eta Android ekosisteman gailu zaharkitu asko daude, denbora luzez eguneratu gabe egon direnak.
Android ekosistema
Horregatik, Let's Encrypt-ek bere ISRG errora mugitzea atzeratu du eta oraindik ere IdenTrust errora jaisten den bitarteko bat erabiltzen du. Baina trantsizioa edozein kasutan egin beharko da. Eta erro aldaketaren data esleitzen da .
ISRG X1 root zure gailuan (telebista, dekodogailua edo beste bezero bat) instalatuta dagoela egiaztatzeko, ireki proba-gunea . Segurtasun abisurik agertzen ez bada, normalean dena ondo dago.
Let's Encrypt ez da erro berri batera migratzeko erronkari aurre egiten dion bakarra. Interneten kriptografia duela 20 urte pasatxo hasi zen erabiltzen, beraz, erro-ziurtagiri asko iraungitzear dauden garaia da.
Urte askotan Smart TV softwarea eguneratu ez duten telebista adimendunen jabeek arazo hau aurki dezakete. Adibidez, GlobalSign erro berria 2012an kaleratu zen, eta telebista adimendun zahar batzuek ezin dute kate bat eraiki ondoren, ez baitute root CA hau. Bereziki, bezero horiek ezin izan zuten konexio segururik ezarri bbc.co.uk webgunera. Arazoa konpontzeko, BBCko administratzaileek trikimailu batera jo behar izan zuten: haiek bitarteko ziurtagiri osagarrien bidez, erro zaharrak erabiliz ΠΈ , oraindik usteldu ez direnak.
www.bbc.co.uk (Hostoa) GlobalSign ECC OV SSL CA 2018 (Bitartekoa) GlobalSign Erro CA - R5 (Bitartekoa) GlobalSign Erro CA - R3 (Bitartekoa)
Hau behin-behineko irtenbidea da. Arazoa ez da desagertuko bezeroaren softwarea eguneratzen ez baduzu. Telebista adimenduna, funtsean, Linux exekutatzen duen funtzionaltasun mugatuko ordenagailu bat da. Eta eguneratzerik gabe, bere erro-ziurtagiriak ezinbestean ustelduko dira.
Hau gailu guztietan aplikatzen da, ez bakarrik telebistak. Internetera konektatuta dagoen eta gailu "adimentsua" gisa iragartzen zen gailuren bat baduzu, ziurtagiri ustelen arazoa ia ziur dago. Gailua eguneratzen ez bada, root CA denda zaharkituta geratuko da denborarekin eta azkenean arazoa azaleratuko da. Arazoa zenbat denborarekin gertatzen den erro denda azken aldiz eguneratu zenaren araberakoa da. Baliteke gailuaren benetako kaleratze-data baino urte batzuk igaro aurretik.
Bide batez, hauxe da arazoa zergatik komunikabide-plataforma handi batzuek ezin duten ziurtagiri-agintari automatizatu modernoak erabili Let's Encrypt bezalakoak, idazten du Scott Helme-k. Ez dira egokiak telebista adimendunetarako, eta erro kopurua txikiegia da ziurtagirien laguntza bermatzeko gailu zaharretan. Bestela, telebistak ezin izango ditu streaming zerbitzu modernoak martxan jarri.
AddTrust-ekin izandako azken gertaerak erakutsi zuen IT enpresa handiak ere ez daudela prestatuta erro-ziurtagiria iraungitzeko.
Arazoari irtenbide bakarra dago - eguneratzea. Gailu adimendunen garatzaileek softwarea eta erro ziurtagiriak eguneratzeko mekanismo bat eman behar dute aldez aurretik. Bestalde, ez da errentagarria fabrikatzaileentzat beren gailuen funtzionamendua bermatzea berme epea amaitu ondoren.
Iturria: www.habr.com