برای اینکه مرورگر یک وب سایت را احراز هویت کند، خود را با یک زنجیره گواهی معتبر نشان می دهد. یک زنجیره معمولی در بالا نشان داده شده است و ممکن است بیش از یک گواهی میانی وجود داشته باشد. حداقل تعداد گواهینامه در یک زنجیره معتبر سه گواهی است.
گواهی ریشه قلب مرجع گواهی است. این به معنای واقعی کلمه در سیستم عامل یا مرورگر شما تعبیه شده است، به طور فیزیکی در دستگاه شما وجود دارد. از سمت سرور قابل تغییر نیست. به روز رسانی اجباری سیستم عامل یا سیستم عامل دستگاه مورد نیاز است.
اسکات هلم، متخصص امنیتی
گواهی پایان و میانی مرجع صدور گواهینامه (CA) از سرور به مشتری تحویل داده می شود و گواهی ریشه از مشتری است. قبلاً، بنابراین با این مجموعه گواهی ها می توان یک زنجیره ساخت و یک وب سایت را احراز هویت کرد.
مشکل این است که هر گواهی تاریخ انقضا دارد و پس از آن باید تعویض شود. به عنوان مثال، از 1 سپتامبر 2020، آنها قصد دارند محدودیتی در مدت اعتبار گواهینامه های TLS سرور در مرورگر سافاری ایجاد کنند.
این بدان معناست که همه ما باید حداقل هر 12 ماه یکبار گواهینامه های سرور خود را تعویض کنیم. این محدودیت فقط برای گواهی های سرور اعمال می شود هیچ برای گواهینامه های CA ریشه اعمال می شود.
گواهینامه های CA توسط مجموعه قوانین متفاوتی کنترل می شوند و بنابراین محدودیت های اعتبار متفاوتی دارند. یافتن گواهینامه های متوسط با مدت اعتبار 5 سال و گواهی های ریشه با عمر مفید حتی 25 سال بسیار رایج است!
معمولاً هیچ مشکلی در مورد گواهیهای میانی وجود ندارد، زیرا آنها توسط سرور به مشتری ارائه میشوند، که خودش گواهینامه خود را خیلی بیشتر تغییر میدهد، بنابراین در این فرآیند به سادگی گواهیهای میانی را جایگزین میکند. بر خلاف گواهی CA ریشه، جایگزین کردن آن به همراه گواهی سرور بسیار آسان است.
همانطور که قبلاً گفتیم، CA ریشه مستقیماً در خود دستگاه مشتری، در سیستم عامل، مرورگر یا سایر نرم افزارها ساخته شده است. تغییر CA ریشه خارج از کنترل وب سایت است. این به یک به روز رسانی در سرویس گیرنده نیاز دارد، چه به روز رسانی سیستم عامل یا نرم افزار.
برخی از Root CA ها برای مدت بسیار طولانی وجود داشته اند، ما در مورد 20-25 سال صحبت می کنیم. به زودی برخی از قدیمی ترین CAهای ریشه به پایان عمر طبیعی خود نزدیک می شوند، زمان آنها تقریباً به پایان رسیده است. برای بسیاری از ما این به هیچ وجه مشکلی نخواهد بود زیرا CA گواهیهای ریشه جدیدی ایجاد کردهاند و سالهاست که در سراسر جهان بهروزرسانیهای سیستمعامل و مرورگر توزیع شدهاند. اما اگر شخصی سیستم عامل یا مرورگر خود را برای مدت طولانی به روز نکرده باشد، این یک مشکل است.
این وضعیت در 30 مه 2020 در ساعت 10:48:38 GMT رخ داده است. این زمان دقیقی است که
برای اطمینان از سازگاری با دستگاههای قدیمی که گواهی ریشه جدید USERTrust را در فروشگاه خود ندارند، برای امضای متقابل استفاده شد.
متأسفانه، مشکلات نه تنها در مرورگرهای قدیمی، بلکه در مشتریان غیر مرورگر مبتنی بر OpenSSL 1.0.x، LibreSSL و نیز به وجود آمد.
فرض بر این بود که این مشکل فقط بر سیستم های قدیمی (Android 2.3، Windows XP، Mac OS X 10.11، iOS 9 و غیره) تأثیر می گذارد، زیرا مرورگرهای مدرن می توانند از دومین گواهی ریشه USERTRust استفاده کنند. اما در واقع، خرابی ها در صدها سرویس وب که از کتابخانه های رایگان OpenSSL 1.0.x و GnuTLS استفاده می کردند آغاز شد. با پیام خطایی که نشان میدهد گواهی قدیمی است، دیگر نمیتوان یک اتصال امن برقرار کرد.
بعد - بیایید رمزگذاری کنیم
یکی دیگر از نمونه های خوب تغییر CA ریشه آتی، مجوز مجوز Let's Encrypt است. بیشتر
Let's Encrypt در بیانیه ای اعلام کرد: به دلیل نگرانی در مورد عدم پذیرش ریشه ISRG در دستگاه های اندرویدی، ما تصمیم گرفتیم تاریخ انتقال ریشه بومی را از 8 جولای 2019 به 8 جولای 2020 منتقل کنیم.
تاریخ باید به دلیل مشکلی به نام "انتشار ریشه" یا به طور دقیق تر، عدم انتشار ریشه به تعویق بیفتد، زمانی که CA ریشه به طور گسترده در همه مشتریان توزیع نشده است.
Let's Encrypt در حال حاضر از یک گواهی میانی با امضای متقاطع استفاده می کند که به IdenTrust DST Root CA X3 زنجیر شده است. این گواهی ریشه در سپتامبر 2000 صادر شد و در 30 سپتامبر 2021 منقضی می شود. تا آن زمان، Let's Encrypt قصد دارد به ISRG Root X1 خود امضا شده خود مهاجرت کند.
روت ISRG در 4 ژوئن 2015 منتشر شد. پس از این فرآیند تایید آن به عنوان مرجع صدور گواهینامه آغاز شد که پایان یافت
اما مشکل همین است.
اگر تلفن همراه، تلویزیون یا سایر دستگاه های شما به مدت دو سال به روز نشده است، چگونه از گواهی ریشه جدید ISRG Root X1 مطلع می شود؟ و اگر آن را روی سیستم نصب نکنید، دستگاه شما به محض اینکه Let's Encrypt به یک روت جدید سوئیچ شود، همه گواهینامه های سرور Let's Encrypt را باطل می کند. و در اکوسیستم اندروید بسیاری از دستگاه های قدیمی وجود دارد که برای مدت طولانی به روز نشده اند.
اکوسیستم اندروید
به همین دلیل است که Let's Encrypt انتقال به ریشه ISRG خود را به تاخیر انداخت و همچنان از واسطه ای استفاده می کند که به ریشه IdenTrust می رود. اما انتقال در هر صورت باید انجام شود. و تاریخ تغییر ریشه اختصاص داده شده است
برای بررسی اینکه آیا روت ISRG X1 روی دستگاه شما (تلویزیون، ست تاپ باکس یا کلاینت دیگر) نصب شده است، سایت تست را باز کنید.
Let's Encrypt تنها کسی نیست که با چالش مهاجرت به یک ریشه جدید مواجه است. استفاده از رمزنگاری در اینترنت کمی بیش از 20 سال پیش آغاز شد، بنابراین اکنون زمانی است که بسیاری از گواهینامه های ریشه در شرف منقضی شدن هستند.
صاحبان تلویزیون های هوشمند که سال ها نرم افزار تلویزیون هوشمند را به روز نکرده اند ممکن است با این مشکل مواجه شوند. به عنوان مثال، ریشه جدید GlobalSign
www.bbc.co.uk (برگ) GlobalSign ECC OV SSL CA 2018 (متوسط) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (Intermediate)
این یک راه حل موقت است. مشکل برطرف نمی شود مگر اینکه نرم افزار مشتری را به روز کنید. تلویزیون هوشمند اساساً یک رایانه با عملکرد محدود است که لینوکس را اجرا می کند. و بدون به روز رسانی، گواهینامه های ریشه آن به ناچار فاسد می شوند.
این برای همه دستگاه ها صدق می کند، نه فقط تلویزیون ها. اگر دستگاهی دارید که به اینترنت متصل است و به عنوان یک دستگاه "هوشمند" تبلیغ شده است، مشکل گواهی های فاسد تقریباً به آن مربوط می شود. اگر دستگاه به روز نشود، فروشگاه ریشه CA به مرور زمان قدیمی می شود و در نهایت مشکل ظاهر می شود. این که مشکل به زودی رخ می دهد بستگی به زمان آخرین به روز رسانی فروشگاه ریشه دارد. این ممکن است چندین سال قبل از تاریخ عرضه واقعی دستگاه باشد.
اسکات هلم می نویسد، به هر حال، این مشکلی است که چرا برخی از پلتفرم های رسانه ای بزرگ نمی توانند از مقامات گواهی خودکار مدرن مانند Let's Encrypt استفاده کنند. آنها برای تلویزیون های هوشمند مناسب نیستند و تعداد روت ها برای تضمین پشتیبانی گواهی در دستگاه های قدیمی بسیار کم است. در غیر این صورت، تلویزیون به سادگی قادر به راه اندازی سرویس های جریان مدرن نخواهد بود.
آخرین اتفاق با AddTrust نشان داد که حتی شرکت های بزرگ فناوری اطلاعات برای این واقعیت که گواهی ریشه منقضی می شود آماده نیستند.
تنها یک راه حل برای مشکل وجود دارد - به روز رسانی. توسعه دهندگان دستگاه های هوشمند باید مکانیزمی را برای به روز رسانی نرم افزار و گواهی های روت از قبل فراهم کنند. از سوی دیگر، اطمینان از عملکرد دستگاه های خود پس از پایان دوره گارانتی برای سازندگان سودآور نیست.
منبع: www.habr.com