Airson brobhsair gus làrach-lìn a dhearbhadh, bidh e ga thaisbeanadh fhèin le sèine teisteanais dligheach. Tha slabhraidh àbhaisteach air a shealltainn gu h-àrd, agus dh'fhaodadh gum bi barrachd air aon teisteanas eadar-mheadhanach ann. Is e trì an àireamh as lugha de theisteanasan ann an sreath dligheach.
Is e an teisteanas freumh cridhe ùghdarras an teisteanais. Tha e gu litireil air a thogail a-steach don OS no do bhrobhsair agad, tha e an làthair gu corporra air an inneal agad. Chan urrainn dha atharrachadh bho thaobh an fhrithealaiche. Tha feum air ùrachadh èiginneach den OS no firmware air an inneal.
An eòlaiche tèarainteachd Scott Helme , gun èirich na prìomh dhuilgheadasan leis an ùghdarras teisteanachaidh Let's Encrypt, oir an-diugh is e an CA as mòr-chòrdte air an eadar-lìn, agus bidh an teisteanas freumh aige a’ dol dona a dh’ aithghearr. Ag atharrachadh freumh Let's Encrypt .
Tha teisteanasan deireadh agus eadar-mheadhanach an ùghdarrais teisteanais (CA) air an lìbhrigeadh don neach-dèiligidh bhon t-seirbheisiche, agus tha an teisteanas freumh bhon neach-dèiligidh mu thràth, mar sin leis a’ chruinneachadh seo de theisteanasan faodaidh aon sreath a thogail agus làrach-lìn a dhearbhadh.
Is e an duilgheadas a th’ ann gu bheil ceann-latha crìochnachaidh aig gach teisteanas, agus às deidh sin feumar a chuir na àite. Mar eisimpleir, bho 1 Sultain, 2020, tha iad an dùil cuingealachadh a thoirt a-steach air ùine dligheachd teisteanasan TLS frithealaiche ann am brabhsair Safari .
Tha seo a’ ciallachadh gum feum sinn uile teisteanasan an t-seirbheisiche againn a chuir nan àite co-dhiù a h-uile 12 mìosan. Chan eil an cuingeachadh seo a’ buntainn ach ri teisteanasan frithealaiche; e chan eil a’ buntainn ri teisteanasan root CA.
Tha teisteanasan CA air an riaghladh le seata riaghailtean eadar-dhealaichte agus mar sin tha crìochan dligheachd eadar-dhealaichte aca. Tha e gu math cumanta teisteanasan eadar-mheadhanach a lorg le ùine dligheachd de 5 bliadhna agus teisteanasan freumh le beatha seirbheis eadhon 25 bliadhna!
Mar as trice chan eil duilgheadasan ann le teisteanasan eadar-mheadhanach, oir tha iad air an toirt don neach-dèiligidh leis an fhrithealaiche, a bhios ag atharrachadh an teisteanas aige fhèin mòran nas trice, agus mar sin bidh e dìreach a ’dol an àite an tè eadar-mheadhanach sa phròiseas. Tha e gu math furasta a chuir na àite còmhla ri teisteanas an fhrithealaiche, eu-coltach ri teisteanas root CA.
Mar a thuirt sinn mu thràth, tha am freumh CA air a thogail gu dìreach a-steach don inneal teachdaiche fhèin, a-steach don OS, brabhsair no bathar-bog eile. Tha atharrachadh freumh CA taobh a-muigh smachd na làraich-lìn. Feumaidh seo ùrachadh mun neach-dèiligidh, biodh e na ùrachadh OS no bathar-bog.
Tha cuid de CAan bunaiteach air a bhith timcheall airson ùine mhòr, tha sinn a 'bruidhinn mu dheidhinn 20-25 bliadhna. A dh'aithghearr thig cuid de na CAan bunaiteach as sine gu deireadh am beatha nàdarra, cha mhòr nach eil an ùine aca suas. Airson a’ mhòr-chuid againn cha bhith seo na dhuilgheadas idir oir tha CAn air teisteanasan freumha ùra a chruthachadh agus chaidh an sgaoileadh air feadh an t-saoghail ann an OS agus ùrachaidhean brabhsair airson grunn bhliadhnaichean. Ach mura h-eil cuideigin air an OS no am brabhsair aca ùrachadh ann an ùine gu math fada, tha e na sheòrsa de dhuilgheadas.
Thachair an suidheachadh seo air 30 Cèitean, 2020 aig 10:48:38 GMT. Is e seo an dearbh àm nuair bho ùghdarras teisteanais Comodo (Sectigo).
Chaidh a chleachdadh airson tar-shoidhnigeadh gus dèanamh cinnteach gu bheil e co-chòrdalachd le innealan dìleab aig nach eil an teisteanas freumh USERTrust ùr anns a’ bhùth aca.
Gu mì-fhortanach, dh’ èirich duilgheadasan chan ann a-mhàin ann am brobhsairean dìleab, ach cuideachd ann an teachdaichean neo-bhrabhsair stèidhichte air OpenSSL 1.0.x, LibreSSL agus . Mar eisimpleir, ann am bogsaichean mullach seata , seirbheis , ann an Fortinet, Chargify iarrtasan, air an àrd-ùrlar .NET Core 2.0 airson Linux agus .
Bhathar a’ gabhail ris nach toireadh an duilgheadas buaidh ach air siostaman dìleab (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, msaa), leis gum faod brobhsairean an latha an-diugh an dàrna teisteanas freumh USERTRust a chleachdadh. Ach gu dearbh, thòisich fàilligeadh anns na ceudan de sheirbheisean lìn a chleachd na leabharlannan OpenSSL 1.0.x agus GnuTLS an-asgaidh. Cha b' urrainn dhuinn ceangal tèarainte a stèidheachadh tuilleadh le teachdaireachd-mearachd a' nochdadh gun robh an teisteanas sean.
An ath- - Leigamaid a chrioptachadh
Is e deagh eisimpleir eile den atharrachadh root CA a tha ri thighinn an t-ùghdarras teisteanais Let's Encrypt. Tuilleadh bha iad an dùil gluasad bhon t-sreath Identrust chun t-sreath ISRG Root aca fhèin, ach seo .
“Air sgàth draghan mu dheidhinn dìth gabhail ri freumh ISRG air innealan Android, tha sinn air co-dhùnadh an ceann-latha gluasaid freumhan dùthchasach a ghluasad bho 8 Iuchar 2019 gu 8 Iuchar 2020," thuirt Let's Encrypt ann an aithris.
Dh'fheumadh an ceann-latha a bhith air a chuir dheth air sgàth duilgheadas ris an canar “root propagation”, no nas mionaidiche, dìth iomadachadh freumhan, nuair nach eil am freumh CA air a sgaoileadh gu farsaing thar gach teachdaiche.
Tha Let's Encrypt an-dràsta a’ cleachdadh teisteanas eadar-mheadhanach tar-shoidhnichte ceangailte ris an IdenTrust DST Root CA X3. Chaidh an teisteanas freumh seo a thoirt seachad air ais san t-Sultain 2000 agus thig e gu crìch air 30 Sultain 2021. Gu ruige sin, tha Let's Encrypt an dùil gluasad gu ISRG Root X1 fèin-shoidhnichte.
ISRG root fhoillseachadh air 4 Ògmhios, 2015. Às deidh seo, thòisich am pròiseas ceadachaidh mar ùghdarras teisteanais, a thàinig gu crìch . Bhon àm seo, bha am root CA ri fhaighinn leis a h-uile neach-dèiligidh tro shiostam obrachaidh no ùrachadh bathar-bog. Cha robh agad ach an t-ùrachadh a stàladh.
Ach sin an duilgheadas.
Mura h-eil am fòn-làimhe agad, Tbh no inneal eile air ùrachadh airson dà bhliadhna, ciamar a bhios fios aige mun teisteanas freumh ISRG Root X1 ùr? Agus mura stàlaich thu e air an t-siostam, cuiridh an inneal agad a h-uile teisteanas frithealaiche Let's Encrypt gu neo-dhligheach cho luath ‘s a thionndaidheas Let's Encrypt gu freumh ùr. Agus ann an eag-shiostam Android tha mòran innealan seann-fhasanta nach deach ùrachadh airson ùine mhòr.
Eag-shiostam Android
Sin as coireach gun do chuir Let's Encrypt dàil air gluasad chun fhreumh ISRG aige fhèin agus fhathast a’ cleachdadh eadar-mheadhanach a tha a’ dol sìos gu freumh IdenTrust. Ach feumaidh an gluasad a bhith air a dhèanamh co-dhiù. Agus tha ceann-latha an atharrachaidh freumh air a shònrachadh .
Gus dèanamh cinnteach gu bheil freumh ISRG X1 air a chuir a-steach air an inneal agad (Tbh, bogsa mullach seata no teachdaiche eile), fosgail làrach na deuchainn . Mura nochd rabhadh tèarainteachd, mar as trice bidh a h-uile dad ceart gu leòr.
Chan e Let's Encrypt an aon fhear a tha mu choinneimh an dùbhlain a thaobh gluasad gu freumh ùr. Thòisich crioptachadh air an eadar-lìn air a chleachdadh beagan a bharrachd air 20 bliadhna air ais, agus mar sin is e seo an t-àm nuair a tha mòran theisteanasan freumha gu bhith a’ tighinn gu crìch.
Is dòcha gum bi an duilgheadas seo aig sealbhadairean telebhiseanan smart nach eil air am bathar-bog Smart TV ùrachadh airson grunn bhliadhnaichean. Mar eisimpleir, am freumh ùr GlobalSign a leigeil ma sgaoil ann an 2012, agus às deidh cuid de sheann Tbh Smart chan urrainn dha slabhraidh a thogail, leis nach eil am freumh CA seo aca. Gu sònraichte, cha b’ urrainn don luchd-dèiligidh seo ceangal tèarainte a stèidheachadh ri làrach-lìn bbc.co.uk. Gus an duilgheadas fhuasgladh, bha aig luchd-rianachd a’ BhBC ri cleas a chleachdadh: iadsan tro theisteanasan eadar-mheadhanach a bharrachd, a 'cleachdadh seann freumhan и , nach eil fhathast grod.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Eadar-mheadhanach) GlobalSign Root CA - R5 (Eadar-mheadhanach) GlobalSign Root CA - R3 (Eadar-mheadhanach)
Is e fuasgladh sealach a tha seo. Cha tèid an duilgheadas air falbh mura ùraich thu am bathar-bog teachdaiche. Tha Tbh snasail gu ìre mhòr na choimpiutair gnìomh cuibhrichte a’ ruith Linux. Agus às aonais ùrachaidhean, tha e do-sheachanta gum bi na teisteanasan bunaiteach aige grodadh.
Tha seo a’ buntainn ris a h-uile inneal, chan e dìreach telebhiseanan. Ma tha inneal sam bith agad a tha ceangailte ris an eadar-lìn agus a chaidh a shanasachadh mar inneal “smart”, is cinnteach gu bheil an duilgheadas le teisteanasan grodadh a ’buntainn ris. Mura tèid an inneal ùrachadh, bidh stòr root CA a’ fàs seann-fhasanta thar ùine agus mu dheireadh thig an duilgheadas am bàrr. Bidh cho luath ‘s a thachras an duilgheadas an urra ri cuin a chaidh an stòr freumh ùrachadh mu dheireadh. Faodaidh seo a bhith grunn bhliadhnaichean ro cheann-latha sgaoilidh an inneal.
Co-dhiù, is e seo an duilgheadas nach urrainn cuid de àrd-ùrlaran meadhanan mòra ùghdarrasan teisteanais fèin-ghluasadach ùr-nodha leithid Let's Encrypt a chleachdadh, a’ sgrìobhadh Scott Helme. Chan eil iad freagarrach airson telebhiseanan snasail, agus tha an àireamh de freumhan ro bheag gus taic teisteanais a ghealltainn air innealan dìleab. Rud eile, cha bhith e comasach dha Tbh seirbheisean sruthadh ùr-nodha a chuir air bhog.
Sheall an tachartas as ùire le AddTrust nach eil eadhon companaidhean IT mòra deiseil airson gun tig an teisteanas freumh gu crìch.
Chan eil ann ach aon fhuasgladh air an duilgheadas - ùrachadh. Feumaidh luchd-leasachaidh innealan snasail dòigh a thoirt seachad airson bathar-bog ùrachadh agus teisteanasan freumhan ro-làimh. Air an làimh eile, chan eil e prothaideach do luchd-saothrachaidh dèanamh cinnteach à obrachadh nan innealan aca às deidh don ùine barantais tighinn gu crìch.
Source: www.habr.com