Jotta selain voi todentaa verkkosivuston, se esittää itselleen kelvollisen varmenneketjun. Tyypillinen ketju on esitetty yllä, ja välivarmenteita voi olla useampi kuin yksi. Varmenteiden vähimmäismäärä voimassa olevassa ketjussa on kolme.
Juurivarmenne on varmenteen myöntäjän sydän. Se on kirjaimellisesti sisäänrakennettu käyttöjärjestelmääsi tai selaimeesi, se on fyysisesti läsnä laitteessasi. Sitä ei voi muuttaa palvelinpuolelta. Laitteen käyttöjärjestelmän tai laiteohjelmiston pakotettu päivitys vaaditaan.
Turvallisuusasiantuntija Scott Helme , että suurimmat ongelmat syntyvät Let's Encrypt -varmenneviranomaisen kanssa, koska se on nykyään Internetin suosituin CA ja sen juurivarmenne menee pian huonoon suuntaan. Let's Encrypt -juuren muuttaminen .
Varmenteen myöntäjän (CA) loppu- ja välivarmenteet toimitetaan asiakkaalle palvelimelta ja juurivarmenne asiakkaalta on jo, joten tällä sertifikaattikokoelmalla voidaan rakentaa ketju ja todentaa verkkosivusto.
Ongelmana on, että jokaisella varmenteella on viimeinen voimassaolopäivä, jonka jälkeen se on vaihdettava. Esimerkiksi 1 alkaen he suunnittelevat rajoittavansa palvelimen TLS-varmenteiden voimassaoloaikaa Safari-selaimessa. .
Tämä tarkoittaa, että meidän kaikkien on vaihdettava palvelinvarmenteemme vähintään 12 kuukauden välein. Tämä rajoitus koskee vain palvelinvarmenteita; se ei koskee juuri CA -varmenteita.
CA-varmenteita säätelevät erilaiset säännöt, ja siksi niillä on erilaiset voimassaolorajat. Hyvin yleistä löytää välivarmenteita, joiden voimassaoloaika on 5 vuotta ja juurivarmenteita, joiden käyttöikä on jopa 25 vuotta!
Välivarmenteilla ei yleensä ole ongelmia, koska ne toimittaa asiakkaalle palvelin, joka itse vaihtaa omaa varmenteensa paljon useammin, joten se yksinkertaisesti korvaa välivarmenteen prosessissa. Se on melko helppo korvata yhdessä palvelinvarmenteen kanssa, toisin kuin juuri CA-sertifikaatti.
Kuten jo totesimme, juuri CA on rakennettu suoraan itse asiakaslaitteeseen, käyttöjärjestelmään, selaimeen tai muuhun ohjelmistoon. Päävarmentajan vaihtaminen ei ole verkkosivuston hallinnassa. Tämä vaatii asiakkaan päivityksen, olipa kyseessä käyttöjärjestelmä- tai ohjelmistopäivitys.
Jotkut juurivarmentajat ovat olleet olemassa hyvin pitkään, puhumme 20-25 vuodesta. Pian jotkut vanhimmista juuri-CA:ista lähestyvät luonnollisen elämänsä loppua, niiden aika on melkein lopussa. Useimmille meistä tämä ei ole ongelma ollenkaan, koska CA:t ovat luoneet uusia juurivarmenteita ja niitä on jaettu ympäri maailmaa käyttöjärjestelmä- ja selainpäivityksissä useiden vuosien ajan. Mutta jos joku ei ole päivittänyt käyttöjärjestelmää tai selainta pitkään aikaan, se on eräänlainen ongelma.
Tämä tilanne tapahtui 30. toukokuuta 2020 klo 10 GMT. Tämä on tarkka aika, jolloin Comodon sertifiointiviranomaiselta (Sectigo).
Sitä käytettiin ristiinallekirjoitukseen varmistaakseen yhteensopivuuden vanhojen laitteiden kanssa, joilla ei ole uutta USERTrust-juurivarmennetta varastossaan.
Valitettavasti ongelmia ei ilmennyt vain vanhoissa selaimissa, vaan myös muissa kuin selainasiakasohjelmissa, jotka perustuvat OpenSSL 1.0.x-, LibreSSL- ja . Esimerkiksi digisovittimissa , palvelu , Fortinetissa, Chargify-sovellukset, .NET Core 2.0 -alustalla Linuxille ja .
Ongelman oletettiin vaikuttavan vain vanhoihin järjestelmiin (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 jne.), koska nykyaikaiset selaimet voivat käyttää toista USERTRust-juurivarmennetta. Mutta itse asiassa epäonnistumiset alkoivat sadoissa verkkopalveluissa, jotka käyttivät ilmaisia OpenSSL 1.0.x- ja GnuTLS-kirjastoja. Suojattua yhteyttä ei voitu muodostaa enää virheilmoituksella, joka ilmoitti varmenteen vanhentumisesta.
Seuraava - Salataan
Toinen hyvä esimerkki tulevasta päävarmentajan muutoksesta on Let's Encrypt -varmenneviranomainen. Lisää he suunnittelivat siirtyvänsä Identrust-ketjusta omaan ISRG Root -ketjuunsa, mutta tämä .
"Koska huoli ISRG-juuren käyttöönoton puutteesta Android-laitteissa, olemme päättäneet siirtää natiivijuuren siirtymäpäivämäärän 8. heinäkuuta 2019 8. heinäkuuta 2020", Let's Encrypt sanoi lausunnossaan.
Päivämäärää jouduttiin lykkäämään "juuren leviämisen"-nimisen ongelman tai tarkemmin sanottuna juuren leviämisen puutteen vuoksi, kun juuri CA ei ole kovin laajasti hajallaan kaikkien asiakkaiden kesken.
Let's Encrypt käyttää tällä hetkellä ristiin allekirjoitettua välisertifikaattia, joka on ketjutettu IdenTrust DST Root CA X3:een. Tämä juurivarmenne myönnettiin syyskuussa 2000 ja se vanhenee 30. syyskuuta 2021. Siihen asti Let's Encrypt aikoo siirtyä omaan itseallekirjoitettuun ISRG Root X1:een.
ISRG root julkaistiin 4. kesäkuuta 2015. Tämän jälkeen alkoi sen hyväksymisprosessi varmenneviranomaiseksi, joka päättyi . Tästä lähtien juuri CA oli kaikkien asiakkaiden käytettävissä käyttöjärjestelmän tai ohjelmistopäivityksen kautta. Sinun tarvitsee vain asentaa päivitys.
Mutta se on ongelma.
Jos matkapuhelintasi, televisiotasi tai muuta laitettasi ei ole päivitetty kahteen vuoteen, mistä se tietää uudesta ISRG Root X1 -juurivarmenteesta? Ja jos et asenna sitä järjestelmään, laitteesi mitätöi kaikki Let's Encrypt -palvelinsertifikaatit heti, kun Let's Encrypt vaihtaa uuteen juureen. Ja Android-ekosysteemissä on monia vanhentuneita laitteita, joita ei ole päivitetty pitkään aikaan.
Android ekosysteemi
Tästä syystä Let's Encrypt viivästytti siirtymistä omaan ISRG-juureen ja käyttää edelleen välimuotoa, joka laskee IdenTrust-juureen. Mutta siirto on tehtävä joka tapauksessa. Ja juurimuutoksen päivämäärä on määritetty .
Tarkista, että ISRG X1 root on asennettu laitteellesi (televisioon, digiboksiin tai muuhun asiakasohjelmaan), avaa testisivusto . Jos turvavaroitusta ei tule näkyviin, kaikki on yleensä kunnossa.
Let's Encrypt ei ole ainoa, joka kohtaa haasteen siirtyä uuteen juureen. Internetin kryptografiaa alettiin käyttää hieman yli 20 vuotta sitten, joten nyt on aika, jolloin monet juurivarmenteet ovat vanhentumassa.
Älytelevisioiden omistajat, jotka eivät ole päivittäneet Smart TV -ohjelmistoa moneen vuoteen, voivat kohdata tämän ongelman. Esimerkiksi uusi GlobalSign-juuri julkaistiin vuonna 2012, ja jotkin vanhat älytelevisiot eivät voi rakentaa siihen ketjua, koska niillä ei yksinkertaisesti ole tätä juurivarmentajaa. Erityisesti nämä asiakkaat eivät pystyneet muodostamaan suojattua yhteyttä bbc.co.uk-verkkosivustoon. Ongelman ratkaisemiseksi BBC:n ylläpitäjien oli turvauduttava temppuun: he ylimääräisten välisertifikaattien kautta vanhoja juuria käyttäen и , jotka eivät ole vielä menneet pilalle.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Keskitaso) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (Intermediate)
Tämä on väliaikainen ratkaisu. Ongelma ei poistu, ellet päivitä asiakasohjelmistoa. Älytelevisio on pohjimmiltaan rajoitettu toiminnallinen Linux-tietokone. Ja ilman päivityksiä sen juurivarmenteet väistämättä mätänevät.
Tämä koskee kaikkia laitteita, ei vain televisioita. Jos sinulla on Internet-yhteydessä oleva laite, jota mainostettiin "älykkääksi" laitteeksi, niin mätäisten varmenteiden ongelma koskee melkein varmasti sitä. Jos laitetta ei päivitetä, juuri CA -säilö vanhenee ajan myötä ja lopulta ongelma tulee esiin. Kuinka pian ongelma ilmenee, riippuu siitä, milloin juurisäilö on viimeksi päivitetty. Tämä voi olla useita vuosia ennen laitteen todellista julkaisupäivää.
Tämä on muuten ongelma, miksi jotkin suuret media-alustat eivät voi käyttää nykyaikaisia automaattisia varmenneviranomaisia, kuten Let's Encrypt, kirjoittaa Scott Helme. Ne eivät sovellu älytelevisioille, ja juurien määrä on liian pieni takaamaan varmennetuen vanhoille laitteille. Muuten TV ei yksinkertaisesti pysty käynnistämään nykyaikaisia suoratoistopalveluita.
Viimeisin AddTrustin tapaus osoitti, että suuretkaan IT-yritykset eivät ole varautuneet juurivarmenteen vanhenemiseen.
Ongelmaan on vain yksi ratkaisu - päivitys. Älylaitteiden kehittäjien on huolehdittava ohjelmistojen ja juurivarmenteiden päivittämisestä etukäteen. Toisaalta valmistajien ei ole kannattavaa varmistaa laitteidensa toimintaa takuuajan umpeutumisen jälkeen.
Lähde: will.com