Foar in blêder om in webside te autentisearjen, presintearret it himsels mei in jildige sertifikaatketen. In typyske keten wurdt hjirboppe werjûn, en d'r kin mear as ien tuskenlizzende sertifikaat wêze. It minimum oantal sertifikaten yn in jildige keten is trije.
It root-sertifikaat is it hert fan 'e sertifikaatautoriteit. It is letterlik ynboud yn jo OS of browser, it is fysyk oanwêzich op jo apparaat. It kin net feroare wurde fan de tsjinner kant. In twongen fernijing fan it OS of firmware op it apparaat is fereaske.
Feiligensspesjalist Scott Helme , dat de wichtichste problemen sille ûntstean mei de Let's Encrypt sertifisearring autoriteit, want hjoed is it de meast populêre CA op it ynternet, en syn root sertifikaat sil gau gean min. It feroarjen fan de Let's Encrypt root .
De ein- en tuskensertifikaten fan 'e sertifisearringsautoriteit (CA) wurde levere oan' e kliïnt fan 'e tsjinner, en it root-sertifikaat is fan 'e kliïnt hat al, dus mei dizze kolleksje fan sertifikaten kin men in ketting bouwe en in webside ferifiearje.
It probleem is dat elk sertifikaat in ferfaldatum hat, wêrnei't it ferfongen wurde moat. Bygelyks, fan 1 septimber 2020 ôf binne se fan plan in beheining yn te fieren op 'e jildigensperioade fan TLS-tsjinnersertifikaten yn' e Safari-blêder .
Dit betsjut dat wy allegear ús serversertifikaten op syn minst elke 12 moannen moatte ferfange. Dizze beheining jildt allinich foar serversertifikaten; it net jildt foar root CA-sertifikaten.
CA-sertifikaten wurde regele troch in oare set regels en hawwe dêrom oare jildigensgrinzen. It is heul gewoan om tuskensertifikaten te finen mei in jildigensperioade fan 5 jier en rootsertifikaten mei in libbensdoer fan sels 25 jier!
D'r binne normaal gjin problemen mei tuskenlizzende sertifikaten, om't se oan 'e kliïnt wurde levere troch de tsjinner, dy't sels syn eigen sertifikaat folle faker feroaret, dus it ferfangt gewoan de tuskenlizzende yn it proses. It is frij maklik om it tegearre mei it serversertifikaat te ferfangen, yn tsjinstelling ta it root CA-sertifikaat.
Lykas wy al sein hawwe, is de root CA direkt yn it clientapparaat sels boud, yn it OS, browser of oare software. It feroarjen fan de root CA is bûten de kontrôle fan 'e webside. Dit fereasket in update op 'e kliïnt, of it no in OS- as software-update is.
Guon root-CA's binne al in heul lange tiid, wy prate oer 20-25 jier. Meikoarten sille guon fan 'e âldste root-CA's it ein fan har natuerlike libben benaderje, har tiid is hast op. Foar de measten fan ús sil dit hielendal gjin probleem wêze, om't CA's nije root-sertifikaten hawwe makke en se binne in protte jierren oer de wrâld ferspraat yn OS en browser-updates. Mar as immen har OS of browser yn in heul lange tiid net bywurke hat, is it in soarte fan probleem.
Dizze situaasje barde op 30 maaie 2020 om 10:48:38 GMT. Dit is de krekte tiid wannear fan de Comodo-sertifikaasjeautoriteit (Sectigo).
It waard brûkt foar cross-signing om kompatibiliteit te garandearjen mei legacy-apparaten dy't net it nije USERTrust root-sertifikaat yn har winkel hawwe.
Spitigernôch ûntstiene problemen net allinich yn legacy browsers, mar ek yn net-browserkliïnten basearre op OpenSSL 1.0.x, LibreSSL en . Bygelyks, yn set-top doazen , betsjinning , yn Fortinet, Chargify-applikaasjes, op it .NET Core 2.0-platfoarm foar Linux en .
It waard oannommen dat it probleem allinnich ynfloed op legacy systemen (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, ensfh), sûnt moderne browsers kinne brûke it twadde USERTRust root sertifikaat. Mar feitlik begon mislearringen yn hûnderten webtsjinsten dy't de fergese OpenSSL 1.0.x en GnuTLS-biblioteken brûkten. In feilige ferbining koe net mear wurde makke mei in flaterberjocht dat oanjout dat it sertifikaat ferâldere wie.
Folgjende - Litte wy fersiferje
In oar goed foarbyld fan 'e oankommende root CA-feroaring is de Let's Encrypt-sertifikaatautoriteit. Mear se plannen om te wikseljen út de Identrust keatling oan harren eigen ISRG Root ketting, mar dit .
"Fanwege soargen oer it gebrek oan oannimmen fan 'e ISRG-root op Android-apparaten, hawwe wy besletten om de native root-oergongsdatum te ferpleatsen fan 8 july 2019 nei 8 july 2020," sei Let's Encrypt yn in offisjele ferklearring.
De datum moast útsteld wurde fanwege in probleem neamd "root propagation", of krekter, it gebrek oan root propagation, doe't de root CA is net hiel wiid ferspraat oer alle kliïnten.
Let's Encrypt brûkt op it stuit in krús-ûndertekene tuskenlizzende sertifikaat keatling oan 'e IdenTrust DST Root CA X3. Dit root-sertifikaat waard werom útjûn yn septimber 2000 en ferrint op 30 septimber 2021. Oant dan is Let's Encrypt fan plan om te migrearjen nei syn eigen sels-ûndertekene ISRG Root X1.
ISRG root útbrocht op 4 juny 2015. Hjirnei begon it proses fan syn goedkarring as sertifisearringsautoriteit, dy't einige . Fan dit punt ôf wie de root-CA beskikber foar alle kliïnten fia in bestjoeringssysteem of software-update. Alles wat jo hoege te dwaan wie de fernijing te ynstallearjen.
Mar dat is it probleem.
As jo mobile tillefoan, tv of oar apparaat twa jier net bywurke is, hoe sil it dan witte oer it nije ISRG Root X1 root-sertifikaat? En as jo it net ynstalleare op it systeem, dan sil jo apparaat alle Let's Encrypt-tsjinnersertifikaten ûnjildich meitsje sa gau as Let's Encrypt oerstapt nei in nije root. En yn it Android-ekosysteem binne d'r in protte ferâldere apparaten dy't in lange tiid net binne bywurke.
Android ekosysteem
Dit is de reden dat Let's Encrypt it ferpleatsen nei syn eigen ISRG-root fertrage en noch altyd in tuskenstap brûkt dy't nei de IdenTrust-root giet. Mar de oergong sil yn alle gefallen makke wurde moatte. En de datum fan root feroaring wurdt tawiisd .
Om te kontrolearjen dat ISRG X1 root is ynstalleare op jo apparaat (TV, set-top box of oare kliïnt), iepenje de testside . As der gjin feiligens warskôging ferskynt, dan is alles normaal goed.
Let's Encrypt is net de iennichste dy't de útdaging hat om te migrearjen nei in nije root. Kryptografy op it ynternet begon krekt mear as 20 jier lyn te brûken, dus no is it tiid dat in protte root-sertifikaten op it punt binne te ferrinnen.
Eigners fan smart TV's dy't de Smart TV-software in protte jierren net hawwe bywurke, kinne dit probleem tsjinkomme. Bygelyks de nije GlobalSign root waard útbrocht yn 2012, en nei guon âlde Smart TVs kin net bouwe in keatling oan it, omdat se gewoan net hawwe dizze root CA. Benammen dizze kliïnten koenen gjin feilige ferbining meitsje mei de webside bbc.co.uk. Om it probleem op te lossen, moasten BBC-behearders in trúkje tawize: se troch ekstra tuskenlizzende sertifikaten, mei âlde woartels и , dy't noch net ferrotte binne.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Intermediate) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (Intermediate)
Dit is in tydlike oplossing. It probleem sil net ferdwine, útsein as jo de kliïntsoftware bywurkje. In smart TV is yn wêzen in kompjûter mei beheinde funksjonaliteit mei Linux. En sûnder updates sille har root-sertifikaten ûnûntkomber rot wurde.
Dit jildt foar alle apparaten, net allinich foar tv's. As jo in apparaat hawwe dat ferbûn is mei it ynternet en dat waard advertearre as in "smart" apparaat, dan giet it probleem mei rotte sertifikaten der hast wis fan. As it apparaat net bywurke wurdt, sil de root CA-winkel oer de tiid ferâldere wurde en úteinlik sil it probleem opkomme. Hoe gau it probleem foarkomt hinget ôf fan wannear't de rootwinkel foar it lêst bywurke is. Dit kin ferskate jierren duorje foar de werklike releasedatum fan it apparaat.
Trouwens, dit is it probleem wêrom't guon grutte mediaplatfoarms moderne automatisearre sertifikaatautoriteiten lykas Let's Encrypt net kinne brûke, skriuwt Scott Helme. Se binne net geskikt foar smart TV's, en it oantal woartels is te lyts om sertifikaatstipe te garandearjen op legacy-apparaten. Oars sil TV gewoan gjin moderne streamingtsjinsten kinne lansearje.
It lêste ynsidint mei AddTrust liet sjen dat sels grutte IT-bedriuwen net ree binne op it feit dat it root-sertifikaat ferrint.
D'r is mar ien oplossing foar it probleem - update. Untwikkelders fan tûke apparaten moatte foarôf in meganisme leverje foar it bywurkjen fan software en root-sertifikaten. Oan 'e oare kant is it net rendabel foar fabrikanten om de wurking fan har apparaten te garandearjen nei't de garânsjeperioade ferrint.
Boarne: www.habr.com