Ar 30 Meán Fómhair ag 17:01 am Moscó, d'éirigh leis an teastas fréimhe IdenTrust (DST Root CA X3), a úsáideadh chun teastas fréimhe an údaráis deimhniúcháin Let's Encrypt (ISRG Root X1) a thras-shíniú, atá á rialú ag an bpobal agus soláthraíonn sé teastais saor in aisce do gach duine, imithe in éag. Chinntigh tras-shíniú go raibh muinín ag teastais Let's Encrypt thar raon leathan gléasanna, córais oibriúcháin, agus brabhsálaithe agus rinneadh teastas fréimhe Let's Encrypt féin a chomhtháthú i stórais na bhfréamh-teastas.
Bhí sé beartaithe ar dtús, tar éis dímheas DST Root CA X3, go n-athródh an tionscadal Let's Encrypt go dtí sínithe a ghiniúint ag baint úsáide as a fhréamhdheimhniú amháin, ach bheadh caillteanas comhoiriúnachta le líon mór córas níos sine mar thoradh ar aistriú den sórt sin. cuir an teastas fréimhe Let's Encrypt lena stórtha. Go háirithe, níl sonraí ag thart ar 30% de na feistí Android atá in úsáid ar an bhfréamh-teastas Let's Encrypt, nach raibh an chuma ar an tacaíocht dó ach ag tosú leis an ardán Android 7.1.1, a scaoileadh ag deireadh 2016.
Ní raibh sé beartaithe ag Let's Encrypt comhaontú nua tras-shínithe a dhéanamh, toisc go gcuireann sé seo freagracht bhreise ar na páirtithe sa chomhaontú, go mbaintear neamhspleáchas dóibh agus ceanglaíonn sé a lámha i dtéarmaí comhlíonadh nósanna imeachta agus rialacha uile údaráis deimhniúcháin eile. Ach mar gheall ar fhadhbanna féideartha ar líon mór feistí Android, rinneadh athbhreithniú ar an bplean. Tugadh comhaontú nua i gcrích le húdarás deimhniúcháin IdenTrust, agus cruthaíodh deimhniú idirmheánach eile cros-sínithe Let's Encrypt laistigh dá chreat. Beidh an tras-síniú bailí ar feadh trí bliana agus coinneoidh sé tacaíocht do fheistí Android ag tosú le leagan 2.3.6.
Mar sin féin, ní chlúdaíonn an deimhniú idirmheánach nua go leor córais oidhreachta eile. Mar shampla, nuair a dhímhálann an deimhniú DST Root CA X3 ar 30 Meán Fómhair, ní ghlacfar le deimhnithe Let's Encrypt a thuilleadh ar fhirmware agus córais oibriúcháin nach dtacaítear leo a éilíonn deimhniú ISRG Root X1 a chur leis de láimh chuig an stór teastas fréimhe chun muinín a chinntiú i ndeimhnithe Let's Encrypt . Léireofar fadhbanna sna nithe seo a leanas:
- OpenSSL suas go dtí brainse 1.0.2 san áireamh (scor de chothabháil brainse 1.0.2 i mí na Nollag 2019);
- SNS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian <8.
I gcás OpenSSL 1.0.2, is é is cúis leis an bhfadhb ná fabht a chuireann cosc ar dheimhnithe tras-sínithe a phróiseáil i gceart má théann ceann de na deimhnithe fréimhe a úsáidtear chun síniú in éag, fiú má fhanann slabhraí bailí muiníne eile. Tháinig an fhadhb chun solais den chéad uair anuraidh tar éis don deimhniú AddTrust a úsáideadh chun deimhnithe ó údarás deimhniúcháin Sectigo (Comodo) a chros-shíniú dul i léig. Is é croílár na faidhbe ná gur pharsáil OpenSSL an deimhniú mar shlabhra líneach, ach de réir RFC 4158, is féidir le teastas graf ciorclach dáilte faoi threoir a léiriú le il-ancairí iontaobhais nach mór a chur san áireamh.
Tairgtear trí réiteach oibre d'úsáideoirí dáiltí níos sine bunaithe ar OpenSSL 1.0.2 chun an fhadhb a réiteach:
- Bhain de láimh an teastas fréimhe IdenTrust DST Root CA X3 agus shuiteáil an teastas fréimhe ISRG Root X1 neamhspleách (gan a bheith tras-sínithe).
- Agus na horduithe openssl fíoraithe agus s_client á rith, is féidir leat an rogha “--trusted_first” a shonrú.
- Bain úsáid as ar an bhfreastalaí teastas deimhnithe ag teastas fréimhe ar leith SRG Root X1, nach bhfuil tras-síniú. Caillfidh an modh seo comhoiriúnacht le cliaint Android níos sine.
Ina theannta sin, is féidir linn a thabhairt faoi deara go bhfuil an tionscadal Let's Encrypt tar éis cloch mhíle dhá bhilliún deimhniú a ghintear a shárú. Baineadh an chloch mhíle billiún amach i mí Feabhra na bliana seo caite. Gintear 2.2-2.4 milliún teastas nua go laethúil. Is é 192 milliún líon na ndeimhnithe gníomhacha (tá teastas bailí ar feadh trí mhí) agus clúdaíonn sé thart ar 260 milliún fearann (clúdaíodh 195 milliún fearann bliain ó shin, 150 milliún dhá bhliain ó shin, 60 milliún trí bliana ó shin). De réir staitisticí ón tseirbhís Firefox Telemetry, is é an sciar domhanda d'iarratais leathanach trí HTTPS ná 82% (bliain ó shin - 81%, dhá bhliain ó shin - 77%, trí bliana ó shin - 69%, ceithre bliana ó shin - 58%).
Foinse: oscailtenet.ru