Որպեսզի զննարկիչը վեբկայքը վավերացնի, այն իրեն ներկայացնում է վավեր վկայականների շղթայով: Տիպիկ շղթան ցուցադրված է վերևում, և կարող է լինել մեկից ավելի միջանկյալ վկայական: Վավերական շղթայում վկայականների նվազագույն թիվը երեքն է:
Արմատային վկայագիրը սերտիֆիկատի մարմնի սիրտն է: Այն բառացիորեն ներկառուցված է ձեր ՕՀ-ում կամ բրաուզերում, այն ֆիզիկապես առկա է ձեր սարքում: Այն չի կարող փոխվել սերվերի կողմից: Սարքի վրա ՕՀ-ի կամ որոնվածի հարկադիր թարմացում է պահանջվում:
Անվտանգության մասնագետ Սքոթ Հելմե
Հավաստագրման մարմնի (CA) վերջնական և միջանկյալ վկայականները հաճախորդին են հանձնվում սերվերից, իսկ արմատային վկայականը հաճախորդից է: արդեն ունի, այնպես որ վկայագրերի այս հավաքածուի միջոցով կարելի է կառուցել շղթա և վավերացնել վեբ կայքը։
Խնդիրն այն է, որ յուրաքանչյուր սերտիֆիկատ ունի գործողության ժամկետ, որից հետո այն պետք է փոխարինվի։ Օրինակ՝ 1 թվականի սեպտեմբերի 2020-ից նրանք նախատեսում են Safari բրաուզերում սերվերի TLS վկայագրերի վավերականության ժամկետի սահմանափակում մտցնել։
Սա նշանակում է, որ մենք բոլորս ստիպված կլինենք փոխել մեր սերվերի վկայականները առնվազն 12 ամիսը մեկ: Այս սահմանափակումը վերաբերում է միայն սերվերի վկայագրերին ոչ կիրառվում է արմատական CA վկայագրերի համար:
CA-ի վկայագրերը կառավարվում են այլ կանոններով և, հետևաբար, ունեն վավերականության տարբեր սահմաններ: Շատ տարածված է գտնել միջանկյալ վկայագրեր՝ 5 տարի վավերականության ժամկետով և արմատային վկայագրեր՝ նույնիսկ 25 տարի ժամկետով:
Սովորաբար միջանկյալ վկայագրերի հետ կապված խնդիրներ չկան, քանի որ դրանք հաճախորդին մատակարարվում են սերվերի կողմից, որն ինքնին շատ ավելի հաճախ է փոխում իր սեփական վկայականը, ուստի գործընթացում պարզապես փոխարինում է միջանկյալին: Բավականին հեշտ է այն փոխարինել սերվերի վկայականի հետ՝ ի տարբերություն root CA վկայագրի։
Ինչպես արդեն ասացինք, արմատային CA-ն ուղղակիորեն ներկառուցված է հենց հաճախորդի սարքի մեջ՝ ՕՀ-ի, բրաուզերի կամ այլ ծրագրաշարի մեջ: Արմատային CA-ի փոփոխությունը կայքի վերահսկողությունից դուրս է: Սա պահանջում է հաճախորդի թարմացում, լինի դա ՕՀ կամ ծրագրային ապահովման թարմացում:
Որոշ արմատական CA-ներ գոյություն ունեն շատ երկար ժամանակ, մենք խոսում ենք 20-25 տարվա մասին: Շուտով որոշ հնագույն արմատային CA-ներ կմոտենան իրենց բնական կյանքի ավարտին, նրանց ժամանակը գրեթե սպառվել է: Մեզանից շատերի համար դա ընդհանրապես խնդիր չի լինի, քանի որ CA-ները ստեղծել են նոր արմատային վկայագրեր և դրանք երկար տարիներ տարածվել են ամբողջ աշխարհում ՕՀ-ի և բրաուզերի թարմացումներով: Բայց եթե ինչ-որ մեկը երկար ժամանակ չի թարմացրել իր OS-ն կամ բրաուզերը, դա մի տեսակ խնդիր է:
Այս իրավիճակը տեղի է ունեցել 30 թվականի մայիսի 2020-ին, ժամը 10:48:38-ին: Սա ճշգրիտ ժամանակն է, երբ
Այն օգտագործվել է խաչաձև ստորագրման համար՝ ապահովելու համատեղելիությունը հին սարքերի հետ, որոնք չունեն USERTrust արմատային նոր վկայականը իրենց խանութում:
Ցավոք, խնդիրներ առաջացան ոչ միայն հին բրաուզերներում, այլև ոչ բրաուզեր հաճախորդների մոտ՝ հիմնված OpenSSL 1.0.x, LibreSSL և
Ենթադրվում էր, որ խնդիրը կազդի միայն հին համակարգերի վրա (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 և այլն), քանի որ ժամանակակից բրաուզերները կարող են օգտագործել երկրորդ USERTRust արմատային վկայագիրը: Բայց իրականում ձախողումները սկսվեցին հարյուրավոր վեբ ծառայություններում, որոնք օգտագործում էին անվճար OpenSSL 1.0.x և GnuTLS գրադարանները: Ապահով կապն այլևս չհաջողվեց հաստատել սխալի հաղորդագրությամբ, որը ցույց է տալիս, որ վկայագիրը հնացել է:
Հաջորդը - Եկեք գաղտնագրենք
Առաջիկա արմատային CA փոփոխության մեկ այլ լավ օրինակ է Let's Encrypt վկայագրի հեղինակությունը: Ավելին
«Անդրոիդ սարքերում ISRG արմատի չընդունման հետ կապված մտահոգությունների պատճառով մենք որոշել ենք 8 թվականի հուլիսի 2019-ից 8 թվականի հուլիսի 2020-ից տեղափոխել մայրենի արմատի անցման ամսաթիվը XNUMX թվականի հուլիսի XNUMX»,- ասվում է Let's Encrypt-ի հայտարարության մեջ:
Ամսաթիվը պետք է հետաձգվեր «արմատային տարածում» կոչվող խնդրի պատճառով, ավելի ճիշտ՝ արմատային տարածման բացակայության պատճառով, երբ արմատային CA-ն այնքան էլ լայնորեն տարածված չէ բոլոր հաճախորդների մեջ:
Let's Encrypt-ը ներկայումս օգտագործում է խաչաձև ստորագրված միջանկյալ վկայական, որը շղթայված է IdenTrust DST Root CA X3-ին: Այս արմատային վկայագիրը տրվել է դեռևս 2000 թվականի սեպտեմբերին և ավարտվում է 30 թվականի սեպտեմբերի 2021-ին: Մինչ այդ, Let's Encrypt-ը նախատեսում է գաղթել իր սեփական ստորագրած ISRG Root X1-ին:
ISRG արմատը թողարկվել է 4 թվականի հունիսի 2015-ին: Սրանից հետո սկսվեց որպես սերտիֆիկացման մարմին հաստատելու գործընթացը, որն ավարտվեց
Բայց խնդիրը դա է:
Եթե ձեր բջջային հեռախոսը, հեռուստացույցը կամ այլ սարքը չի թարմացվել արդեն երկու տարի, ինչպե՞ս այն իմանա նոր ISRG Root X1 արմատային վկայագրի մասին: Եվ եթե այն չտեղադրեք համակարգում, ապա ձեր սարքը անվավեր կճանաչի Let's Encrypt սերվերի բոլոր վկայագրերը հենց որ Let's Encrypt-ը անցնի նոր արմատի: Իսկ Android-ի էկոհամակարգում կան բազմաթիվ հնացած սարքեր, որոնք երկար ժամանակ չեն թարմացվել։
Android էկոհամակարգ
Սա է պատճառը, որ Let's Encrypt-ը հետաձգեց տեղափոխումը դեպի իր սեփական ISRG արմատը և դեռ օգտագործում է միջանկյալ, որը իջնում է դեպի IdenTrust արմատը: Բայց անցումը պետք է կատարվի ամեն դեպքում։ Եվ նշանակվում է արմատային փոփոխության ամսաթիվը
Ստուգելու համար, որ ISRG X1 արմատը տեղադրված է ձեր սարքի վրա (հեռուստացույց, set-top box կամ այլ հաճախորդ), բացեք փորձարկման կայքը
Let's Encrypt-ը միակը չէ, որ բախվում է նոր արմատ տեղափոխելու մարտահրավերին: Ինտերնետում կրիպտոգրաֆիան սկսել է օգտագործվել 20 տարի առաջ, ուստի այժմ այն ժամանակն է, երբ շատ արմատական վկայագրերի ժամկետը սպառվում է:
Սմարթ հեռուստացույցների սեփականատերերը, ովքեր երկար տարիներ չեն թարմացրել Smart TV-ի ծրագրակազմը, կարող են հանդիպել այս խնդրին: Օրինակ, նոր GlobalSign արմատը
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (միջանկյալ) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (միջանկյալ)
Սա ժամանակավոր լուծում է։ Խնդիրը չի վերանա, քանի դեռ չեք թարմացնել հաճախորդի ծրագրակազմը: Խելացի հեռուստացույցը, ըստ էության, Linux-ով աշխատող սահմանափակ ֆունկցիոնալ համակարգիչ է: Եվ առանց թարմացումների, դրա արմատային վկայագրերը անխուսափելիորեն փտած կլինեն:
Սա վերաբերում է բոլոր սարքերին, ոչ միայն հեռուստացույցներին: Եթե դուք ունեք որևէ սարք, որը միացված է ինտերնետին, և որը գովազդվել է որպես «խելացի» սարք, ապա փտած վկայականների խնդիրը գրեթե անկասկած վերաբերում է դրան: Եթե սարքը չթարմացվի, root CA խանութը ժամանակի ընթացքում հնացած կդառնա, և ի վերջո խնդիրը կհայտնվի: Թե որքան շուտ կառաջանա խնդիրը, կախված է նրանից, թե երբ է վերջին անգամ թարմացվել արմատային խանութը: Սա կարող է լինել սարքի իրական թողարկման ամսաթվից մի քանի տարի առաջ:
Ի դեպ, սա է խնդիրը, թե ինչու որոշ խոշոր մեդիա հարթակներ չեն կարող օգտագործել ժամանակակից ավտոմատացված հավաստագրերի հեղինակություններ, ինչպիսին Let's Encrypt-ն է, գրում է Սքոթ Հելմին: Դրանք հարմար չեն խելացի հեռուստացույցների համար, և արմատների թիվը չափազանց փոքր է, որպեսզի երաշխավորի վկայականի աջակցությունը հին սարքերում: Հակառակ դեպքում հեռուստատեսությունը պարզապես չի կարողանա գործարկել ժամանակակից հոսքային ծառայություններ։
AddTrust-ի հետ վերջին միջադեպը ցույց տվեց, որ նույնիսկ խոշոր ՏՏ ընկերությունները պատրաստ չեն այն փաստին, որ արմատային վկայագրի ժամկետը լրանում է:
Խնդրի լուծումը միայն մեկ է՝ թարմացում: Խելացի սարքերի մշակողները պետք է նախապես ապահովեն ծրագրային ապահովման և արմատային սերտիֆիկատների թարմացման մեխանիզմ։ Մյուս կողմից, արտադրողների համար ձեռնտու չէ ապահովել իրենց սարքերի շահագործումը երաշխիքային ժամկետի ավարտից հետո։
Source: www.habr.com