Ahhoz, hogy a böngésző hitelesítsen egy webhelyet, egy érvényes tanúsítványlánccal jeleníti meg magát. Egy tipikus lánc látható fent, és egynél több köztes tanúsítvány is lehet. A tanúsítványok minimális száma egy érvényes láncban három.
A gyökértanúsítvány a tanúsító hatóság szíve. Szó szerint be van építve az operációs rendszerébe vagy a böngészőbe, és fizikailag jelen van az eszközén. Szerver oldalról nem módosítható. Az eszközön az operációs rendszer vagy a firmware kényszerített frissítése szükséges.
Scott Helme biztonsági szakértő , hogy a főbb problémák a Let's Encrypt hitelesítésszolgáltatóval fognak jelentkezni, mert ma ez a legnépszerűbb CA az interneten, és a gyökértanúsítványa is hamarosan elromlik. A Let's Encrypt gyökér megváltoztatása .
A hitelesítésszolgáltató (CA) vég- és közbenső tanúsítványa a szerverről érkezik a klienshez, a gyökértanúsítvány pedig az ügyféltől már, így ezzel a tanúsítványgyűjteménnyel láncot építhet és hitelesíthet egy webhelyet.
A probléma az, hogy minden tanúsítványnak van egy lejárati ideje, ami után cserélni kell. Például 1. szeptember 2020-től korlátozást terveznek bevezetni a szerver TLS-tanúsítványainak érvényességi idejét a Safari böngészőben. .
Ez azt jelenti, hogy legalább 12 havonta ki kell cserélnünk a szervertanúsítványokat. Ez a korlátozás csak a szervertanúsítványokra vonatkozik; ez nincs a root CA-tanúsítványokra vonatkozik.
A CA-tanúsítványokra más szabályok vonatkoznak, ezért eltérő érvényességi korlátokkal rendelkeznek. Nagyon gyakori az 5 éves érvényességi idejű köztes, illetve akár 25 éves élettartamú gyökértanúsítványok is!
A köztes tanúsítványokkal általában nincs probléma, mert azokat a szerver szolgáltatja a kliensnek, amely maga is sokkal gyakrabban változtatja a saját tanúsítványát, így a közbensőt egyszerűen lecseréli. A gyökér CA-tanúsítványtól eltérően meglehetősen egyszerű cserélni a szervertanúsítvánnyal együtt.
Ahogy már említettük, a gyökér CA közvetlenül magába a kliens eszközbe, az operációs rendszerbe, a böngészőbe vagy más szoftverbe van beépítve. A gyökér CA módosítása a webhely ellenőrzésén kívül esik. Ehhez frissítésre van szükség a kliensen, legyen az operációs rendszer vagy szoftverfrissítés.
Néhány gyökér CA már nagyon régóta létezik, 20-25 évről beszélünk. A legrégebbi gyökér CA-k hamarosan természetes életük végéhez közelednek, idejük már majdnem lejárt. Legtöbbünk számára ez egyáltalán nem jelent problémát, mert a CA-k új gyökértanúsítványokat hoztak létre, és ezeket sok éven át terjesztik az egész világon operációs rendszer- és böngészőfrissítésekben. De ha valaki nagyon régóta nem frissítette az operációs rendszerét vagy a böngészőjét, az egyfajta probléma.
Ez a helyzet 30. május 2020-án, 10:48:38-kor (GMT) történt. Ez az a pontos idő, amikor a Comodo tanúsító hatóságtól (Sectigo).
A kereszt-aláíráshoz használták, hogy biztosítsák a kompatibilitást az olyan régebbi eszközökkel, amelyek nem rendelkeznek az új USERTrust gyökértanúsítvánnyal a boltjukban.
Sajnos nem csak a régebbi böngészőkben adódtak problémák, hanem az OpenSSL 1.0.x, LibreSSL ill. . Például a set-top boxokban , szolgáltatás , Fortinetben, Chargify alkalmazásokban, a .NET Core 2.0 platformon Linux és .
Feltételezték, hogy a probléma csak a régi rendszereket érinti (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 stb.), mivel a modern böngészők a második USERTRust gyökértanúsítványt is használhatják. Valójában azonban a hibák az ingyenes OpenSSL 1.0.x és GnuTLS könyvtárakat használó webszolgáltatások százaiban kezdődtek. A biztonságos kapcsolat már nem hozható létre a tanúsítvány elavultságát jelző hibaüzenettel.
Következő – Titkosítsuk
Egy másik jó példa a közelgő gyökér CA változásra a Let's Encrypt tanúsító hatóság. Több azt tervezték, hogy áttérnek az Identrust láncról a saját ISRG Root láncra, de ez .
"Az ISRG root Android-eszközökön való alkalmazásának hiányával kapcsolatos aggodalmak miatt úgy döntöttünk, hogy a natív root áttérés dátumát 8. július 2019-ról 8. július 2020-ra helyezzük át" - áll a Let's Encrypt hivatalos közleményében.
A dátumot el kellett halasztani a „root propagation” nevű probléma, pontosabban a gyökérterjedés hiánya miatt, mivel a gyökér CA nincs túl széles körben elosztva minden kliens között.
A Let's Encrypt jelenleg egy kereszt-aláírt köztes tanúsítványt használ, amely az IdenTrust DST Root CA X3-hoz van láncolva. Ezt a gyökértanúsítványt 2000 szeptemberében adták ki, és 30. szeptember 2021-án jár le. Addig a Let's Encrypt azt tervezi, hogy áttér a saját aláírású ISRG Root X1-re.
Az ISRG root 4. június 2015-én jelent meg. Ezt követően megkezdődött a tanúsító hatóságként való jóváhagyásának folyamata, amely véget is ért . Ettől kezdve a gyökér CA minden ügyfél számára elérhető volt operációs rendszer vagy szoftverfrissítés révén. Csak a frissítést kellett telepítenie.
De ez a probléma.
Ha mobiltelefonját, tévéjét vagy egyéb eszközét két évig nem frissítették, honnan fog tudni az új ISRG Root X1 gyökértanúsítványról? És ha nem telepíti a rendszerre, akkor a készülék érvényteleníti az összes Let's Encrypt szervertanúsítványt, amint a Let's Encrypt új gyökérre vált. És az Android ökoszisztémában sok elavult eszköz van, amelyeket sokáig nem frissítettek.
Android ökoszisztéma
Ez az oka annak, hogy a Let's Encrypt késleltette a saját ISRG-gyökérre való átállást, és továbbra is olyan közteset használ, amely az IdenTrust gyökérig megy le. De az átállást mindenképpen meg kell tenni. És hozzá van rendelve a gyökérváltás dátuma .
Ha ellenőrizni szeretné, hogy az ISRG X1 root telepítve van-e az eszközére (TV, set-top box vagy más kliens), nyissa meg a tesztoldalt . Ha nem jelenik meg biztonsági figyelmeztetés, akkor általában minden rendben van.
Nem a Let's Encrypt az egyetlen, aki szembesül azzal a kihívással, hogy új gyökérre váltson. Az internetes kriptográfiát valamivel több mint 20 évvel ezelőtt kezdték el használni, így most van itt az idő, amikor sok gyökértanúsítvány lejár.
Az okostévék tulajdonosai, akik évek óta nem frissítették a Smart TV szoftverét, találkozhatnak ezzel a problémával. Például az új GlobalSign gyökér 2012-ben jelent meg, és miután néhány régi Smart TV nem tud láncot építeni hozzá, mert egyszerűen nincs meg ez a gyökér CA. Ezek az ügyfelek különösen nem tudtak biztonságos kapcsolatot létesíteni a bbc.co.uk weboldallal. A probléma megoldásához a BBC adminisztrátorainak egy trükkhöz kellett folyamodniuk: ők további köztes tanúsítványokon keresztül, régi gyökerek használatával и , amelyek még nem romlottak el.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Intermediate) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (Középes)
Ez egy átmeneti megoldás. A probléma nem szűnik meg, hacsak nem frissíti az ügyfélszoftvert. Az intelligens TV lényegében egy Linuxot futtató, korlátozott funkcionalitású számítógép. Frissítések nélkül pedig a gyökértanúsítványai elkerülhetetlenül elromlanak.
Ez minden eszközre vonatkozik, nem csak a tévékre. Ha van olyan eszköze, amely csatlakozik az internethez, és amelyet „okos” eszközként hirdettek, akkor az elromlott tanúsítványokkal kapcsolatos probléma szinte biztosan ezt érinti. Ha az eszközt nem frissítik, a gyökér CA tároló idővel elavulttá válik, és végül a probléma megjelenik. A probléma megjelenési ideje attól függ, hogy mikor frissítették utoljára a gyökértárolót. Ez több évvel az eszköz tényleges megjelenési dátuma előtt lehet.
Ez a probléma egyébként, hogy egyes nagy médiaplatformok miért nem tudják használni a modern automatizált tanúsító hatóságokat, mint a Let's Encrypt – írja Scott Helme. Nem alkalmasak intelligens TV-khez, és a root-ok száma túl kicsi ahhoz, hogy garantálja a tanúsítványok támogatását a régi eszközökön. Ellenkező esetben a TV egyszerűen nem tudja elindítani a modern streaming szolgáltatásokat.
Az AddTrusttal történt legutóbbi incidens megmutatta, hogy még a nagy IT-cégek sincsenek felkészülve arra, hogy a gyökértanúsítvány lejár.
A problémára egyetlen megoldás létezik: frissítés. Az intelligens eszközök fejlesztőinek előzetesen gondoskodniuk kell egy mechanizmusról a szoftver és a gyökértanúsítványok frissítésére. Másrészt a gyártóknak nem kifizetődő, ha a szavatossági idő lejárta után biztosítják készülékeik működését.
Forrás: will.com