Pour qu'un navigateur authentifie un site Web, il se présente avec une chaîne de certificats valide. Une chaîne typique est présentée ci-dessus et il peut y avoir plusieurs certificats intermédiaires. Le nombre minimum de certificats dans une chaîne valide est de trois.
Le certificat racine est le cœur de l'autorité de certification. Il est littéralement intégré à votre système d'exploitation ou à votre navigateur, il est physiquement présent sur votre appareil. Il ne peut pas être modifié côté serveur. Une mise à jour forcée du système d'exploitation ou du micrologiciel de l'appareil est requise.
Spécialiste de la sécurité Scott Helme , que les principaux problèmes surgiront avec l'autorité de certification Let's Encrypt, car c'est aujourd'hui l'autorité de certification la plus populaire sur Internet, et son certificat racine va bientôt se détériorer. Changer la racine de Let's Encrypt .
Les certificats finaux et intermédiaires de l'autorité de certification (CA) sont délivrés au client depuis le serveur, et le certificat racine provient du client. déjà, donc avec cette collection de certificats, on peut construire une chaîne et authentifier un site Web.
Le problème est que chaque certificat a une date d’expiration après laquelle il doit être remplacé. Par exemple, à partir du 1er septembre 2020, ils prévoient d'introduire une limitation de la durée de validité des certificats TLS du serveur dans le navigateur Safari. .
Cela signifie que nous devrons tous remplacer nos certificats de serveur au moins tous les 12 mois. Cette restriction s'applique uniquement aux certificats de serveur ; elle aucun s'applique aux certificats d'autorité de certification racine.
Les certificats CA sont régis par un ensemble de règles différent et ont donc des limites de validité différentes. Il est très courant de trouver des certificats intermédiaires avec une durée de validité de 5 ans et des certificats racines avec une durée de vie allant jusqu'à 25 ans !
Il n'y a généralement aucun problème avec les certificats intermédiaires, car ils sont fournis au client par le serveur, qui lui-même change beaucoup plus souvent son propre certificat, il remplace donc simplement le certificat intermédiaire dans le processus. Il est assez simple de le remplacer avec le certificat du serveur, contrairement au certificat racine de l'autorité de certification.
Comme nous l'avons déjà dit, l'autorité de certification racine est intégrée directement à l'appareil client lui-même, au système d'exploitation, au navigateur ou à un autre logiciel. La modification de l'autorité de certification racine échappe au contrôle du site Web. Cela nécessite une mise à jour sur le client, qu'il s'agisse d'une mise à jour du système d'exploitation ou d'un logiciel.
Certaines AC racine existent depuis très longtemps, on parle de 20-25 ans. Bientôt, certaines des AC racines les plus anciennes approcheront de la fin de leur vie naturelle, leur temps est presque écoulé. Pour la plupart d'entre nous, cela ne posera aucun problème car les autorités de certification ont créé de nouveaux certificats racine et ils sont distribués dans le monde entier dans les mises à jour du système d'exploitation et des navigateurs depuis de nombreuses années. Mais si quelqu'un n'a pas mis à jour son système d'exploitation ou son navigateur depuis très longtemps, c'est en quelque sorte un problème.
Cette situation s'est produite le 30 mai 2020 à 10:48:38 GMT. C'est l'heure exacte où de l'autorité de certification Comodo (Sectigo).
Il a été utilisé pour la signature croisée afin de garantir la compatibilité avec les appareils existants qui ne disposent pas du nouveau certificat racine USERTrust dans leur magasin.
Malheureusement, des problèmes sont survenus non seulement dans les navigateurs existants, mais également dans les clients non-navigateurs basés sur OpenSSL 1.0.x, LibreSSL et . Par exemple, dans les décodeurs , service , dans Fortinet, les applications Chargify, sur la plateforme .NET Core 2.0 pour Linux et .
Il était supposé que le problème n'affecterait que les systèmes existants (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, etc.), puisque les navigateurs modernes peuvent utiliser le deuxième certificat racine USERTRust. Mais en fait, les échecs ont commencé dans des centaines de services Web utilisant les bibliothèques gratuites OpenSSL 1.0.x et GnuTLS. Une connexion sécurisée ne pouvait plus être établie avec un message d'erreur indiquant que le certificat était obsolète.
Suivant - Chiffrons
Un autre bon exemple du prochain changement de l'autorité de certification racine est l'autorité de certification Let's Encrypt. Plus ils prévoyaient de passer de la chaîne Identrust à leur propre chaîne ISRG Root, mais cela .
"En raison de préoccupations concernant le manque d'adoption de la racine ISRG sur les appareils Android, nous avons décidé de déplacer la date de transition de la racine native du 8 juillet 2019 au 8 juillet 2020", a déclaré Let's Encrypt dans un communiqué.
La date a dû être reportée en raison d'un problème appelé « propagation racine », ou plus précisément, de l'absence de propagation racine, alors que l'autorité de certification racine n'est pas très largement répartie sur tous les clients.
Let's Encrypt utilise actuellement un certificat intermédiaire à signature croisée enchaîné à IdenTrust DST Root CA X3. Ce certificat racine a été émis en septembre 2000 et expire le 30 septembre 2021. D'ici là, Let's Encrypt prévoit de migrer vers son propre ISRG Root X1 auto-signé.
Racine ISRG publiée le 4 juin 2015. Après cela, le processus de son approbation en tant qu'autorité de certification a commencé, qui s'est terminé . À partir de ce moment, l’autorité de certification racine était disponible pour tous les clients via une mise à jour du système d’exploitation ou du logiciel. Il ne vous restait plus qu'à installer la mise à jour.
Mais c'est là le problème.
Si votre téléphone mobile, votre téléviseur ou autre appareil n'a pas été mis à jour depuis deux ans, comment connaîtra-t-il l'existence du nouveau certificat racine ISRG Root X1 ? Et si vous ne l'installez pas sur le système, votre appareil invalidera tous les certificats du serveur Let's Encrypt dès que Let's Encrypt passera à une nouvelle racine. Et dans l'écosystème Android, il existe de nombreux appareils obsolètes qui n'ont pas été mis à jour depuis longtemps.
Écosystème Android
C'est pourquoi Let's Encrypt a retardé le passage à sa propre racine ISRG et utilise toujours un intermédiaire qui descend jusqu'à la racine IdenTrust. Mais il faudra de toute façon faire la transition. Et la date du changement de racine est attribuée .
Pour vérifier que le root ISRG X1 est installé sur votre appareil (TV, décodeur ou autre client), ouvrez le site de test . Si aucun avertissement de sécurité n'apparaît, tout va généralement bien.
Let's Encrypt n'est pas le seul à être confronté au défi de migrer vers une nouvelle racine. La cryptographie sur Internet a commencé à être utilisée il y a un peu plus de 20 ans, c'est pourquoi de nombreux certificats racine sont sur le point d'expirer.
Les propriétaires de téléviseurs intelligents qui n'ont pas mis à jour le logiciel Smart TV depuis de nombreuses années peuvent rencontrer ce problème. Par exemple, la nouvelle racine GlobalSign a été publié en 2012, et après certains anciens téléviseurs intelligents ne peuvent pas créer de chaîne, car ils n'ont tout simplement pas cette autorité de certification racine. En particulier, ces clients n’ont pas pu établir une connexion sécurisée au site Web bbc.co.uk. Pour résoudre le problème, les administrateurs de la BBC ont dû recourir à une astuce : ils via des certificats intermédiaires supplémentaires, utilisant d'anciennes racines и , qui ne sont pas encore pourris.
www.bbc.co.uk (Feuille) GlobalSign ECC OV SSL CA 2018 (Intermédiaire) GlobalSign Root CA - R5 (Intermédiaire) GlobalSign Root CA - R3 (Intermédiaire)
Il s'agit d'une solution temporaire. Le problème ne disparaîtra que si vous mettez à jour le logiciel client. Un téléviseur intelligent est essentiellement un ordinateur aux fonctionnalités limitées exécutant Linux. Et sans mises à jour, ses certificats racines deviendront inévitablement pourris.
Cela s'applique à tous les appareils, pas seulement aux téléviseurs. Si vous possédez un appareil connecté à Internet et présenté comme un appareil « intelligent », le problème des certificats pourris le concerne presque certainement. Si le périphérique n'est pas mis à jour, le magasin racine de l'autorité de certification deviendra obsolète au fil du temps et le problème finira par faire surface. La rapidité avec laquelle le problème survient dépend de la date de la dernière mise à jour du magasin racine. Cela peut prendre plusieurs années avant la date de sortie réelle de l'appareil.
Soit dit en passant, c'est la raison pour laquelle certaines grandes plates-formes médiatiques ne peuvent pas utiliser des autorités de certification automatisées modernes comme Let's Encrypt, écrit Scott Helme. Ils ne conviennent pas aux téléviseurs intelligents et le nombre de racines est trop faible pour garantir la prise en charge des certificats sur les appareils existants. Sinon, la télévision ne pourra tout simplement pas lancer de services de streaming modernes.
Le dernier incident avec AddTrust a montré que même les grandes entreprises informatiques ne sont pas préparées à l'expiration du certificat racine.
Il n'y a qu'une seule solution au problème : la mise à jour. Les développeurs d'appareils intelligents doivent fournir à l'avance un mécanisme de mise à jour des logiciels et des certificats racine. En revanche, il n'est pas rentable pour les fabricants d'assurer le fonctionnement de leurs appareils après l'expiration de la période de garantie.
Source: habr.com