Chun suíomh Gréasáin a fhíordheimhniú do bhrabhsálaí, cuireann sé slabhra deimhnithe bailí i láthair. Taispeántar slabhra tipiciúil thuas, agus d'fhéadfadh go mbeadh níos mó ná teastas idirmheánach amháin ann. Is é an t-íoslíon teastas i slabhra bailí ná trí.
Is é an teastas fréamhacha croí an údaráis deimhnithe. Tá sé ionsuite literally i do OS nó bhrabhsálaí, tá sé i láthair go fisiciúil ar do gléas. Ní féidir é a athrú ó thaobh an fhreastalaí. Tá nuashonrú éigeantach ar an OS nó ar an bhfirmware ar an ngléas ag teastáil.
Speisialtóir Slándála Scott Helme , go dtiocfaidh na príomhfhadhbanna chun cinn leis an údarás deimhniúcháin Let's Encrypt, toisc gurb é an CA is mó tóir ar an Idirlíon inniu, agus beidh a fhréamh-dheimhniú go luath ag dul go dona. Athrú ar an fhréamh Let's Encrypt .
Seachadtar deimhnithe deiridh agus idirmheánacha an údaráis deimhniúcháin (CA) chuig an gcliant ón bhfreastalaí, agus is ón gcliant atá an teastas fréimhe cheana féin, mar sin leis an mbailiúchán seo de theastais is féidir le duine slabhra a thógáil agus suíomh Gréasáin a fhíordheimhniú.
Is í an fhadhb atá ann go bhfuil dáta éaga ag gach teastas, agus ina dhiaidh sin is gá é a athsholáthar. Mar shampla, ó 1 Meán Fómhair, 2020, tá sé beartaithe acu teorainn a chur le tréimhse bailíochta na ndeimhnithe freastalaí TLS sa bhrabhsálaí Safari .
Ciallaíonn sé seo go mbeidh orainn go léir teastais ár bhfreastalaí a athsholáthar gach 12 mhí ar a laghad. Ní bhaineann an srian seo ach le teastais an fhreastalaí; aon baineann sé le deimhnithe root CA.
Tá deimhnithe CA á rialú ag sraith éagsúil rialacha agus dá bhrí sin tá teorainneacha bailíochta éagsúla acu. Tá sé an-choitianta deimhnithe idirmheánacha a aimsiú le tréimhse bailíochta 5 bliana agus deimhnithe fréimhe le saol seirbhíse fiú 25 bliain!
De ghnáth ní bhíonn aon fhadhbanna ann le deimhnithe idirmheánacha, toisc go soláthraíonn an freastalaí iad don chliant, a athraíonn a theastas féin i bhfad níos minice, agus mar sin cuireann sé in ionad an ceann idirmheánach sa phróiseas. Tá sé éasca go leor é a athsholáthar mar aon le teastas an fhreastalaí, murab ionann agus an teastas CA fréimhe.
Mar a dúirt muid cheana féin, tá an fhréamh CA tógtha go díreach isteach sa ghléas cliant féin, isteach san OS, sa bhrabhsálaí nó i mbogearraí eile. Níl aon smacht ag an suíomh Gréasáin ar an fhréamh CA a athrú. Éilíonn sé seo nuashonrú ar an gcliant, cibé acu is nuashonrú OS nó bogearraí é.
Tá roinnt CA fréamhacha thart ar feadh tréimhse an-fhada, táimid ag caint faoi 20-25 bliain. Go gairid beidh cuid de na CA fréamhacha is sine ag druidim le deireadh a saol nádúrtha, tá a gcuid ama beagnach suas. Don chuid is mó againn ní bheidh sé seo ina fhadhb ar chor ar bith mar go bhfuil CAnna deimhnithe fréimhe nua agus dáileadh iad ar fud an domhain in OS agus nuashonruithe brabhsálaí le blianta fada. Ach mura bhfuil a OS nó brabhsálaí nuashonraithe ag duine le fada an lá, is cineál faidhbe é.
Tharla an scéal seo an 30 Bealtaine 2020 ag 10:48:38 GMT. Is é seo an t-am cruinn nuair ó údarás deimhniúcháin Comodo (Sectigo).
Baineadh úsáid as le haghaidh tras-shínithe chun comhoiriúnacht a chinntiú le feistí oidhreachta nach bhfuil an teastas fréimhe USERTrust nua acu ina stór.
Ar an drochuair, d'eascair fadhbanna ní hamháin i mbrabhsálaithe oidhreachta, ach freisin i gclianta neamhbhrabhsálaí bunaithe ar OpenSSL 1.0.x, LibreSSL agus . Mar shampla, i mboscaí barr tacair , seirbhís , i Fortinet, feidhmchláir Chargify, ar an ardán .NET Core 2.0 le haghaidh Linux agus .
Glacadh leis nach gcuirfeadh an fhadhb isteach ach ar chórais oidhreachta (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, etc.), toisc gur féidir le brabhsálaithe nua-aimseartha an dara teastas fréimhe USERTRust a úsáid. Ach i ndáiríre, thosaigh teipeanna sna céadta seirbhísí gréasáin a d'úsáid na leabharlanna OpenSSL 1.0.x agus GnuTLS saor in aisce. Níorbh fhéidir nasc slán a bhunú a thuilleadh le teachtaireacht earráide a thug le fios go raibh an teastas as dáta.
Ar Aghaidh - A ligean ar Criptigh
Sampla maith eile den athrú CA fréimhe atá le teacht ná an t-údarás deimhnithe Let's Encrypt. Tuilleadh bhí sé beartaithe acu aistriú ón slabhra Identrust chuig a slabhra Fréamh ISRG féin, ach seo .
“Mar gheall ar imní faoi easpa glactha an fhréamh ISRG ar fheistí Android, tá cinneadh déanta againn an dáta aistrithe fréamhacha dúchais a bhogadh ó 8 Iúil, 2019 go 8 Iúil, 2020," a dúirt Let's Encrypt i ráiteas.
B'éigean an dáta a chur siar mar gheall ar fhadhb ar a dtugtar "iomadú fréimhe", nó níos cruinne, an easpa iomadú fréimhe, nuair nach bhfuil an fhréamh CA scaipthe go forleathan ar fud na gcliant go léir.
Úsáideann Let's Encrypt faoi láthair teastas idirmheánach tras-sínithe atá ceangailte leis an IdenTrust DST Root CA X3. Eisíodh an teastas fréimhe seo ar ais i Meán Fómhair 2000 agus rachaidh sé in éag an 30 Meán Fómhair 2021. Go dtí sin, tá sé beartaithe ag Let's Encrypt dul ar imirce chuig a ISRG Root X1 féin-sínithe.
Eisíodh fréamh ISRG ar 4 Meitheamh, 2015. Ina dhiaidh sin, cuireadh tús le próiseas a fhormheasa mar údarás deimhniúcháin, rud a tháinig chun críche . Ón bpointe seo ar aghaidh, bhí an fhréamh CA ar fáil do gach cliant trí chóras oibriúcháin nó nuashonrú bogearraí. Ní raibh le déanamh agat ach an nuashonrú a shuiteáil.
Ach luíonn an fhadhb ann.
Mura bhfuil do ghuthán póca, teilifís nó gléas eile nuashonraithe ar feadh dhá bhliain, cén chaoi a mbeidh a fhios aige faoi dheimhniú fréimhe nua ISRG Root X1? Agus mura ndéanann tú é a shuiteáil ar an gcóras, beidh do ghléas neamhbhailí gach teastas freastalaí Let's Encrypt a luaithe a aistríonn Let's Encrypt chuig fréamh nua. Agus in éiceachóras Android tá go leor feistí as dáta nach bhfuil nuashonraithe le fada an lá.
Éiceachóras Android
Sin é an fáth gur chuir Let's Encrypt moill ar aistriú chuig a fhréamh ISRG féin agus go n-úsáideann sé fós idirmheánach a théann síos go dtí an fhréamh IdenTrust. Ach beidh an t-aistriú a dhéanamh ar aon nós. Agus sanntar dáta an athraithe fréimhe .
Chun seiceáil go bhfuil fréamh ISRG X1 suiteáilte ar do ghléas (teilifís, bosca ar bharr na tacair nó cliant eile), oscail an suíomh tástála . Mura bhfeictear rabhadh slándála, is gnách go mbíonn gach rud go breá.
Ní hé Let's Encrypt an t-aon duine atá roimh an dúshlán a bhaineann le haistriú chuig fréamh nua. Cuireadh tús le húsáid cripteagrafaíochta ar an Idirlíon beagán níos mó ná 20 bliain ó shin, mar sin anois an t-am nuair a bhíonn go leor deimhnithe fréamhacha ar tí dul in éag.
Seans go mbeidh an fhadhb seo ag úinéirí teilifíseáin chliste nár nuashonraigh bogearraí Smart TV le blianta fada. Mar shampla, an fhréamh GlobalSign nua i 2012, agus tar éis nach féidir le roinnt sean-teilifíseáin Chliste slabhra a thógáil dó, toisc nach bhfuil an fhréamh CA seo acu. Go háirithe, ní raibh na cliaint seo in ann nasc slán a bhunú le suíomh Gréasáin bbc.co.uk. Chun an fhadhb a réiteach, bhí ar riarthóirí an BBC dul i muinín cleas: siad trí dheimhnithe idirmheánacha breise, ag baint úsáide as seanfhréamhacha и , nach bhfuil imithe go fóill lofa.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Idirmheánach) GlobalSign Root CA - R5 (Idirmheánach) GlobalSign Root CA - R3 (Meánmheánach)
Is réiteach sealadach é seo. Ní imeoidh an fhadhb mura nuashonraíonn tú bogearraí an chliaint. Go bunúsach, is ríomhaire le feidhm theoranta é teilifís chliste a ritheann Linux. Agus gan nuashonruithe, is cinnte go n-éireoidh a fhréamh-dheimhniú lofa.
Baineann sé seo le gach feiste, ní hamháin teilifíseáin. Má tá aon fheiste agat atá nasctha leis an Idirlíon agus a fógraíodh mar ghléas “cliste”, is cinnte go mbaineann fadhb na ndeimhnithe lofa leis. Mura ndéantar an gléas a nuashonrú, beidh an stór CA fréimhe as dáta le himeacht ama agus ar deireadh thiar beidh an fhadhb ag teacht chun cinn. Braitheann cé chomh luath agus a tharlaíonn an fhadhb ar an uair dheireanach a nuashonraíodh an stór fréamhacha. D'fhéadfadh sé seo a bheith roinnt blianta roimh dháta scaoileadh iarbhír an fheiste.
Dála an scéil, is é seo an fhadhb nach féidir le roinnt ardáin meán mór úsáid a bhaint as údaráis deimhnithe uathoibrithe nua-aimseartha mar Let's Encrypt, a scríobhann Scott Helme. Níl siad oiriúnach do theilifíseáin chliste, agus tá líon na bhfréamhacha ró-bheag chun tacaíocht deimhnithe a ráthú ar fheistí oidhreachta. Seachas sin, ní bheidh an teilifís in ann seirbhísí sruthú nua-aimseartha a sheoladh.
Léirigh an eachtra is déanaí le AddTrust nach bhfuil fiú cuideachtaí móra TF ullmhaithe le haghaidh an bhfíric go dtéann an teastas fréimhe in éag.
Níl ach réiteach amháin ar an bhfadhb - nuashonrú. Ní mór d'fhorbróirí feistí cliste meicníocht a sholáthar chun bogearraí agus deimhnithe fréimhe a nuashonrú roimh ré. Ar an láimh eile, níl sé brabúsach do mhonaróirí oibriú a gcuid feistí a chinntiú tar éis don tréimhse bharánta dul in éag.
Foinse: will.com