برای اینکه مرورگر یک وب سایت را احراز هویت کند، خود را با یک زنجیره گواهی معتبر نشان می دهد. یک زنجیره معمولی در بالا نشان داده شده است و ممکن است بیش از یک گواهی میانی وجود داشته باشد. حداقل تعداد گواهینامه در یک زنجیره معتبر سه گواهی است.

گواهی ریشه قلب مرجع گواهی است. این به معنای واقعی کلمه در سیستم عامل یا مرورگر شما تعبیه شده است، به طور فیزیکی در دستگاه شما وجود دارد. از سمت سرور قابل تغییر نیست. به روز رسانی اجباری سیستم عامل یا سیستم عامل دستگاه مورد نیاز است.

اسکات هلم، متخصص امنیتی می نویسد:، که مشکلات اصلی با مرجع صدور گواهینامه Let's Encrypt ایجاد می شود، زیرا امروز محبوب ترین CA در اینترنت است و گواهی ریشه آن به زودی خراب می شود. تغییر ریشه Let's Encrypt برای 8 جولای 2020 برنامه ریزی شده است.

گواهی پایان و میانی مرجع صدور گواهینامه (CA) از سرور به مشتری تحویل داده می شود و گواهی ریشه از مشتری است. قبلاً، بنابراین با این مجموعه گواهی ها می توان یک زنجیره ساخت و یک وب سایت را احراز هویت کرد.

مشکل این است که هر گواهی تاریخ انقضا دارد و پس از آن باید تعویض شود. به عنوان مثال، از 1 سپتامبر 2020، آنها قصد دارند محدودیتی در مدت اعتبار گواهینامه های TLS سرور در مرورگر سافاری ایجاد کنند. حداکثر 398 روز.

این بدان معناست که همه ما باید حداقل هر 12 ماه یکبار گواهینامه های سرور خود را تعویض کنیم. این محدودیت فقط برای گواهی های سرور اعمال می شود هیچ برای گواهینامه های CA ریشه اعمال می شود.

گواهینامه های CA توسط مجموعه قوانین متفاوتی کنترل می شوند و بنابراین محدودیت های اعتبار متفاوتی دارند. یافتن گواهینامه های متوسط ​​با مدت اعتبار 5 سال و گواهی های ریشه با عمر مفید حتی 25 سال بسیار رایج است!

معمولاً هیچ مشکلی در مورد گواهی‌های میانی وجود ندارد، زیرا آنها توسط سرور به مشتری ارائه می‌شوند، که خودش گواهینامه خود را خیلی بیشتر تغییر می‌دهد، بنابراین در این فرآیند به سادگی گواهی‌های میانی را جایگزین می‌کند. بر خلاف گواهی CA ریشه، جایگزین کردن آن به همراه گواهی سرور بسیار آسان است.

همانطور که قبلاً گفتیم، CA ریشه مستقیماً در خود دستگاه مشتری، در سیستم عامل، مرورگر یا سایر نرم افزارها ساخته شده است. تغییر CA ریشه خارج از کنترل وب سایت است. این به یک به روز رسانی در سرویس گیرنده نیاز دارد، چه به روز رسانی سیستم عامل یا نرم افزار.

برخی از Root CA ها برای مدت بسیار طولانی وجود داشته اند، ما در مورد 20-25 سال صحبت می کنیم. به زودی برخی از قدیمی ترین CAهای ریشه به پایان عمر طبیعی خود نزدیک می شوند، زمان آنها تقریباً به پایان رسیده است. برای بسیاری از ما این به هیچ وجه مشکلی نخواهد بود زیرا CA گواهی‌های ریشه جدیدی ایجاد کرده‌اند و سال‌هاست که در سراسر جهان به‌روزرسانی‌های سیستم‌عامل و مرورگر توزیع شده‌اند. اما اگر شخصی سیستم عامل یا مرورگر خود را برای مدت طولانی به روز نکرده باشد، این یک مشکل است.

این وضعیت در 30 مه 2020 در ساعت 10:48:38 GMT رخ داده است. این زمان دقیقی است که گواهی ریشه AddTrust فاسد است از مرجع صدور گواهینامه Comodo (Sectigo).

برای اطمینان از سازگاری با دستگاه‌های قدیمی که گواهی ریشه جدید USERTrust را در فروشگاه خود ندارند، برای امضای متقابل استفاده شد.

متأسفانه، مشکلات نه تنها در مرورگرهای قدیمی، بلکه در مشتریان غیر مرورگر مبتنی بر OpenSSL 1.0.x، LibreSSL و نیز به وجود آمد. gnuTLS. مثلا در ست تاپ باکس ها های Roku، سرویس هروکو، در Fortinet، برنامه های Chargify، در پلت فرم .NET Core 2.0 برای لینوکس و بسیاری دیگر.

فرض بر این بود که این مشکل فقط بر سیستم های قدیمی (Android 2.3، Windows XP، Mac OS X 10.11، iOS 9 و غیره) تأثیر می گذارد، زیرا مرورگرهای مدرن می توانند از دومین گواهی ریشه USERTRust استفاده کنند. اما در واقع، خرابی ها در صدها سرویس وب که از کتابخانه های رایگان OpenSSL 1.0.x و GnuTLS استفاده می کردند آغاز شد. با پیام خطایی که نشان می‌دهد گواهی قدیمی است، دیگر نمی‌توان یک اتصال امن برقرار کرد.

بعد - بیایید رمزگذاری کنیم

یکی دیگر از نمونه های خوب تغییر CA ریشه آتی، مجوز مجوز Let's Encrypt است. بیشتر آوریل 2019 آنها قصد داشتند از زنجیره Identrust به زنجیره ریشه ISRG خود تغییر کنند، اما این اتفاق نیفتاد.

Let's Encrypt در بیانیه ای اعلام کرد: به دلیل نگرانی در مورد عدم پذیرش ریشه ISRG در دستگاه های اندرویدی، ما تصمیم گرفتیم تاریخ انتقال ریشه بومی را از 8 جولای 2019 به 8 جولای 2020 منتقل کنیم.

تاریخ باید به دلیل مشکلی به نام "انتشار ریشه" یا به طور دقیق تر، عدم انتشار ریشه به تعویق بیفتد، زمانی که CA ریشه به طور گسترده در همه مشتریان توزیع نشده است.

Let's Encrypt در حال حاضر از یک گواهی میانی با امضای متقاطع استفاده می کند که به IdenTrust DST Root CA X3 زنجیر شده است. این گواهی ریشه در سپتامبر 2000 صادر شد و در 30 سپتامبر 2021 منقضی می شود. تا آن زمان، Let's Encrypt قصد دارد به ISRG Root X1 خود امضا شده خود مهاجرت کند.

روت ISRG در 4 ژوئن 2015 منتشر شد. پس از این فرآیند تایید آن به عنوان مرجع صدور گواهینامه آغاز شد که پایان یافت 6 اوت 2018 سال. از این مرحله به بعد، root CA از طریق یک سیستم عامل یا به روز رسانی نرم افزار در دسترس همه مشتریان قرار گرفت. تنها کاری که باید انجام می دادید این بود که آپدیت را نصب کنید.

اما مشکل همین است.

اگر تلفن همراه، تلویزیون یا سایر دستگاه های شما به مدت دو سال به روز نشده است، چگونه از گواهی ریشه جدید ISRG Root X1 مطلع می شود؟ و اگر آن را روی سیستم نصب نکنید، دستگاه شما به محض اینکه Let's Encrypt به یک روت جدید سوئیچ شود، همه گواهینامه های سرور Let's Encrypt را باطل می کند. و در اکوسیستم اندروید بسیاری از دستگاه های قدیمی وجود دارد که برای مدت طولانی به روز نشده اند.

اکوسیستم اندروید

به همین دلیل است که Let's Encrypt انتقال به ریشه ISRG خود را به تاخیر انداخت و همچنان از واسطه ای استفاده می کند که به ریشه IdenTrust می رود. اما انتقال در هر صورت باید انجام شود. و تاریخ تغییر ریشه اختصاص داده شده است جولای 8 2020 سال.

برای بررسی اینکه آیا روت ISRG X1 روی دستگاه شما (تلویزیون، ست تاپ باکس یا کلاینت دیگر) نصب شده است، سایت تست را باز کنید. https://valid-isrgrootx1.letsencrypt.org/. اگر هیچ هشدار امنیتی ظاهر نشد، پس معمولاً همه چیز خوب است.

Let's Encrypt تنها کسی نیست که با چالش مهاجرت به یک ریشه جدید مواجه است. استفاده از رمزنگاری در اینترنت کمی بیش از 20 سال پیش آغاز شد، بنابراین اکنون زمانی است که بسیاری از گواهینامه های ریشه در شرف منقضی شدن هستند.

صاحبان تلویزیون های هوشمند که سال ها نرم افزار تلویزیون هوشمند را به روز نکرده اند ممکن است با این مشکل مواجه شوند. به عنوان مثال، ریشه جدید GlobalSign ریشه R5 در سال 2012 منتشر شد، و بعد از اینکه برخی از تلویزیون های هوشمند قدیمی نمی توانند زنجیره ای برای آن بسازند، زیرا آنها به سادگی این CA را ندارند. به ویژه، این مشتریان قادر به برقراری ارتباط امن با وب سایت bbc.co.uk نبودند. برای حل این مشکل، مدیران بی‌بی‌سی مجبور شدند به ترفندی متوسل شوند: آنها ما یک زنجیره جایگزین برای این مشتریان ساختیم از طریق گواهی های میانی اضافی، با استفاده از ریشه های قدیمی ریشه R3 и ریشه R1، که هنوز پوسیده نشده اند.

www.bbc.co.uk (برگ) GlobalSign ECC OV SSL CA 2018 (متوسط) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (Intermediate)

این یک راه حل موقت است. مشکل برطرف نمی شود مگر اینکه نرم افزار مشتری را به روز کنید. تلویزیون هوشمند اساساً یک رایانه با عملکرد محدود است که لینوکس را اجرا می کند. و بدون به روز رسانی، گواهینامه های ریشه آن به ناچار فاسد می شوند.

این برای همه دستگاه ها صدق می کند، نه فقط تلویزیون ها. اگر دستگاهی دارید که به اینترنت متصل است و به عنوان یک دستگاه "هوشمند" تبلیغ شده است، مشکل گواهی های فاسد تقریباً به آن مربوط می شود. اگر دستگاه به روز نشود، فروشگاه ریشه CA به مرور زمان قدیمی می شود و در نهایت مشکل ظاهر می شود. این که مشکل به زودی رخ می دهد بستگی به زمان آخرین به روز رسانی فروشگاه ریشه دارد. این ممکن است چندین سال قبل از تاریخ عرضه واقعی دستگاه باشد.

اسکات هلم می نویسد، به هر حال، این مشکلی است که چرا برخی از پلتفرم های رسانه ای بزرگ نمی توانند از مقامات گواهی خودکار مدرن مانند Let's Encrypt استفاده کنند. آنها برای تلویزیون های هوشمند مناسب نیستند و تعداد روت ها برای تضمین پشتیبانی گواهی در دستگاه های قدیمی بسیار کم است. در غیر این صورت، تلویزیون به سادگی قادر به راه اندازی سرویس های جریان مدرن نخواهد بود.

آخرین اتفاق با AddTrust نشان داد که حتی شرکت های بزرگ فناوری اطلاعات برای این واقعیت که گواهی ریشه منقضی می شود آماده نیستند.

تنها یک راه حل برای مشکل وجود دارد - به روز رسانی. توسعه دهندگان دستگاه های هوشمند باید مکانیزمی را برای به روز رسانی نرم افزار و گواهی های روت از قبل فراهم کنند. از سوی دیگر، اطمینان از عملکرد دستگاه های خود پس از پایان دوره گارانتی برای سازندگان سودآور نیست.

منبع: www.habr.com