Որպեսզի զննարկիչը վեբկայքը վավերացնի, այն իրեն ներկայացնում է վավեր վկայականների շղթայով: Տիպիկ շղթան ցուցադրված է վերևում, և կարող է լինել մեկից ավելի միջանկյալ վկայական: Վավերական շղթայում վկայականների նվազագույն թիվը երեքն է:

Արմատային վկայագիրը սերտիֆիկատի մարմնի սիրտն է: Այն բառացիորեն ներկառուցված է ձեր ՕՀ-ում կամ բրաուզերում, այն ֆիզիկապես առկա է ձեր սարքում: Այն չի կարող փոխվել սերվերի կողմից: Սարքի վրա ՕՀ-ի կամ որոնվածի հարկադիր թարմացում է պահանջվում:

Անվտանգության մասնագետ Սքոթ Հելմե գրում, որ հիմնական խնդիրները կծագեն Let's Encrypt սերտիֆիկացման մարմնի հետ, քանի որ այսօր այն ինտերնետում ամենահայտնի CA-ն է, և դրա արմատային վկայագիրը շուտով կվատանա։ Let's Encrypt արմատի փոփոխություն նախատեսված է 8 թվականի հուլիսի 2020-ին.

Հավաստագրման մարմնի (CA) վերջնական և միջանկյալ վկայականները հաճախորդին են հանձնվում սերվերից, իսկ արմատային վկայականը հաճախորդից է: արդեն ունի, այնպես որ վկայագրերի այս հավաքածուի միջոցով կարելի է կառուցել շղթա և վավերացնել վեբ կայքը։

Խնդիրն այն է, որ յուրաքանչյուր սերտիֆիկատ ունի գործողության ժամկետ, որից հետո այն պետք է փոխարինվի։ Օրինակ՝ 1 թվականի սեպտեմբերի 2020-ից նրանք նախատեսում են Safari բրաուզերում սերվերի TLS վկայագրերի վավերականության ժամկետի սահմանափակում մտցնել։ առավելագույնը 398 օր.

Սա նշանակում է, որ մենք բոլորս ստիպված կլինենք փոխել մեր սերվերի վկայականները առնվազն 12 ամիսը մեկ: Այս սահմանափակումը վերաբերում է միայն սերվերի վկայագրերին ոչ կիրառվում է արմատական ​​CA վկայագրերի համար:

CA-ի վկայագրերը կառավարվում են այլ կանոններով և, հետևաբար, ունեն վավերականության տարբեր սահմաններ: Շատ տարածված է գտնել միջանկյալ վկայագրեր՝ 5 տարի վավերականության ժամկետով և արմատային վկայագրեր՝ նույնիսկ 25 տարի ժամկետով:

Սովորաբար միջանկյալ վկայագրերի հետ կապված խնդիրներ չկան, քանի որ դրանք հաճախորդին մատակարարվում են սերվերի կողմից, որն ինքնին շատ ավելի հաճախ է փոխում իր սեփական վկայականը, ուստի գործընթացում պարզապես փոխարինում է միջանկյալին: Բավականին հեշտ է այն փոխարինել սերվերի վկայականի հետ՝ ի տարբերություն root CA վկայագրի։

Ինչպես արդեն ասացինք, արմատային CA-ն ուղղակիորեն ներկառուցված է հենց հաճախորդի սարքի մեջ՝ ՕՀ-ի, բրաուզերի կամ այլ ծրագրաշարի մեջ: Արմատային CA-ի փոփոխությունը կայքի վերահսկողությունից դուրս է: Սա պահանջում է հաճախորդի թարմացում, լինի դա ՕՀ կամ ծրագրային ապահովման թարմացում:

Որոշ արմատական ​​CA-ներ գոյություն ունեն շատ երկար ժամանակ, մենք խոսում ենք 20-25 տարվա մասին: Շուտով որոշ հնագույն արմատային CA-ներ կմոտենան իրենց բնական կյանքի ավարտին, նրանց ժամանակը գրեթե սպառվել է: Մեզանից շատերի համար դա ընդհանրապես խնդիր չի լինի, քանի որ CA-ները ստեղծել են նոր արմատային վկայագրեր և դրանք երկար տարիներ տարածվել են ամբողջ աշխարհում ՕՀ-ի և բրաուզերի թարմացումներով: Բայց եթե ինչ-որ մեկը երկար ժամանակ չի թարմացրել իր OS-ն կամ բրաուզերը, դա մի տեսակ խնդիր է:

Այս իրավիճակը տեղի է ունեցել 30 թվականի մայիսի 2020-ին, ժամը 10:48:38-ին: Սա ճշգրիտ ժամանակն է, երբ AddTrust արմատային վկայագիրը փտած է Comodo սերտիֆիկացման մարմնից (Sectigo):

Այն օգտագործվել է խաչաձև ստորագրման համար՝ ապահովելու համատեղելիությունը հին սարքերի հետ, որոնք չունեն USERTrust արմատային նոր վկայականը իրենց խանութում:

Ցավոք, խնդիրներ առաջացան ոչ միայն հին բրաուզերներում, այլև ոչ բրաուզեր հաճախորդների մոտ՝ հիմնված OpenSSL 1.0.x, LibreSSL և gnuTLS. Օրինակ՝ set-top box-ներում տարի, սպասարկում HerokuFortinet-ում, Chargify հավելվածներում, .NET Core 2.0 հարթակում Linux-ի և շատ ուրիշներ.

Ենթադրվում էր, որ խնդիրը կազդի միայն հին համակարգերի վրա (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 և այլն), քանի որ ժամանակակից բրաուզերները կարող են օգտագործել երկրորդ USERTRust արմատային վկայագիրը: Բայց իրականում ձախողումները սկսվեցին հարյուրավոր վեբ ծառայություններում, որոնք օգտագործում էին անվճար OpenSSL 1.0.x և GnuTLS գրադարանները: Ապահով կապն այլևս չհաջողվեց հաստատել սխալի հաղորդագրությամբ, որը ցույց է տալիս, որ վկայագիրը հնացել է:

Հաջորդը - Եկեք գաղտնագրենք

Առաջիկա արմատային CA փոփոխության մեկ այլ լավ օրինակ է Let's Encrypt վկայագրի հեղինակությունը: Ավելին տարվա 2019 ապրիլին նրանք նախատեսում էին Identrust շղթայից անցնել իրենց սեփական ISRG Root շղթային, բայց սա Չի պատահել.

«Անդրոիդ սարքերում ISRG արմատի չընդունման հետ կապված մտահոգությունների պատճառով մենք որոշել ենք 8 թվականի հուլիսի 2019-ից 8 թվականի հուլիսի 2020-ից տեղափոխել մայրենի արմատի անցման ամսաթիվը XNUMX թվականի հուլիսի XNUMX»,- ասվում է Let's Encrypt-ի հայտարարության մեջ:

Ամսաթիվը պետք է հետաձգվեր «արմատային տարածում» կոչվող խնդրի պատճառով, ավելի ճիշտ՝ արմատային տարածման բացակայության պատճառով, երբ արմատային CA-ն այնքան էլ լայնորեն տարածված չէ բոլոր հաճախորդների մեջ:

Let's Encrypt-ը ներկայումս օգտագործում է խաչաձև ստորագրված միջանկյալ վկայական, որը շղթայված է IdenTrust DST Root CA X3-ին: Այս արմատային վկայագիրը տրվել է դեռևս 2000 թվականի սեպտեմբերին և ավարտվում է 30 թվականի սեպտեմբերի 2021-ին: Մինչ այդ, Let's Encrypt-ը նախատեսում է գաղթել իր սեփական ստորագրած ISRG Root X1-ին:

ISRG արմատը թողարկվել է 4 թվականի հունիսի 2015-ին: Սրանից հետո սկսվեց որպես սերտիֆիկացման մարմին հաստատելու գործընթացը, որն ավարտվեց 6 Օգոստոս 2018 տարի. Այս պահից սկսած, root CA-ն հասանելի էր բոլոր հաճախորդներին օպերացիոն համակարգի կամ ծրագրային ապահովման թարմացման միջոցով: Ձեզ մնում էր միայն տեղադրել թարմացումը:

Բայց խնդիրը դա է:

Եթե ​​ձեր բջջային հեռախոսը, հեռուստացույցը կամ այլ սարքը չի թարմացվել արդեն երկու տարի, ինչպե՞ս այն իմանա նոր ISRG Root X1 արմատային վկայագրի մասին: Եվ եթե այն չտեղադրեք համակարգում, ապա ձեր սարքը անվավեր կճանաչի Let's Encrypt սերվերի բոլոր վկայագրերը հենց որ Let's Encrypt-ը անցնի նոր արմատի: Իսկ Android-ի էկոհամակարգում կան բազմաթիվ հնացած սարքեր, որոնք երկար ժամանակ չեն թարմացվել։

Android էկոհամակարգ

Սա է պատճառը, որ Let's Encrypt-ը հետաձգեց տեղափոխումը դեպի իր սեփական ISRG արմատը և դեռ օգտագործում է միջանկյալ, որը իջնում ​​է դեպի IdenTrust արմատը: Բայց անցումը պետք է կատարվի ամեն դեպքում։ Եվ նշանակվում է արմատային փոփոխության ամսաթիվը Հուլիս 8 2020 տարի.

Ստուգելու համար, որ ISRG X1 արմատը տեղադրված է ձեր սարքի վրա (հեռուստացույց, set-top box կամ այլ հաճախորդ), բացեք փորձարկման կայքը https://valid-isrgrootx1.letsencrypt.org/. Եթե ​​անվտանգության նախազգուշացում չի հայտնվում, ապա սովորաբար ամեն ինչ կարգին է:

Let's Encrypt-ը միակը չէ, որ բախվում է նոր արմատ տեղափոխելու մարտահրավերին: Ինտերնետում կրիպտոգրաֆիան սկսել է օգտագործվել 20 տարի առաջ, ուստի այժմ այն ​​ժամանակն է, երբ շատ արմատական ​​վկայագրերի ժամկետը սպառվում է:

Սմարթ հեռուստացույցների սեփականատերերը, ովքեր երկար տարիներ չեն թարմացրել Smart TV-ի ծրագրակազմը, կարող են հանդիպել այս խնդրին: Օրինակ, նոր GlobalSign արմատը R5 արմատ թողարկվել է 2012 թվականին, և այն բանից հետո, երբ որոշ հին սմարթ հեռուստացույցներ չեն կարող շղթա կառուցել դրան, քանի որ նրանք պարզապես չունեն այս արմատային CA-ն: Մասնավորապես, այս հաճախորդները չեն կարողացել անվտանգ կապ հաստատել bbc.co.uk կայքի հետ: Խնդիրը լուծելու համար BBC-ի ադմինիստրատորները ստիպված էին դիմել մի հնարքի Մենք այլընտրանքային շղթա ենք կառուցել այս հաճախորդների համար լրացուցիչ միջանկյալ վկայագրերի միջոցով՝ օգտագործելով հին արմատները R3 արմատ и R1 արմատ, որոնք դեռ չեն փտել։

www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (միջանկյալ) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (միջանկյալ)

Սա ժամանակավոր լուծում է։ Խնդիրը չի վերանա, քանի դեռ չեք թարմացնել հաճախորդի ծրագրակազմը: Խելացի հեռուստացույցը, ըստ էության, Linux-ով աշխատող սահմանափակ ֆունկցիոնալ համակարգիչ է: Եվ առանց թարմացումների, դրա արմատային վկայագրերը անխուսափելիորեն փտած կլինեն:

Սա վերաբերում է բոլոր սարքերին, ոչ միայն հեռուստացույցներին: Եթե ​​դուք ունեք որևէ սարք, որը միացված է ինտերնետին, և որը գովազդվել է որպես «խելացի» սարք, ապա փտած վկայականների խնդիրը գրեթե անկասկած վերաբերում է դրան: Եթե ​​սարքը չթարմացվի, root CA խանութը ժամանակի ընթացքում հնացած կդառնա, և ի վերջո խնդիրը կհայտնվի: Թե որքան շուտ կառաջանա խնդիրը, կախված է նրանից, թե երբ է վերջին անգամ թարմացվել արմատային խանութը: Սա կարող է լինել սարքի իրական թողարկման ամսաթվից մի քանի տարի առաջ:

Ի դեպ, սա է խնդիրը, թե ինչու որոշ խոշոր մեդիա հարթակներ չեն կարող օգտագործել ժամանակակից ավտոմատացված հավաստագրերի հեղինակություններ, ինչպիսին Let's Encrypt-ն է, գրում է Սքոթ Հելմին: Դրանք հարմար չեն խելացի հեռուստացույցների համար, և արմատների թիվը չափազանց փոքր է, որպեսզի երաշխավորի վկայականի աջակցությունը հին սարքերում: Հակառակ դեպքում հեռուստատեսությունը պարզապես չի կարողանա գործարկել ժամանակակից հոսքային ծառայություններ։

AddTrust-ի հետ վերջին միջադեպը ցույց տվեց, որ նույնիսկ խոշոր ՏՏ ընկերությունները պատրաստ չեն այն փաստին, որ արմատային վկայագրի ժամկետը լրանում է:

Խնդրի լուծումը միայն մեկ է՝ թարմացում: Խելացի սարքերի մշակողները պետք է նախապես ապահովեն ծրագրային ապահովման և արմատային սերտիֆիկատների թարմացման մեխանիզմ։ Մյուս կողմից, արտադրողների համար ձեռնտու չէ ապահովել իրենց սարքերի շահագործումը երաշխիքային ժամկետի ավարտից հետո։

Source: www.habr.com