Սեպտեմբերի 30-ին, Մոսկվայի ժամանակով ժամը 17:01-ին, IdenTrust արմատային վկայականը (DST Root CA X3), որն օգտագործվել է Let's Encrypt սերտիֆիկացման մարմնի (ISRG Root X1) արմատային վկայագիրը խաչաձև ստորագրելու համար, որը վերահսկվում է համայնքի և բոլորին անվճար տրամադրում է վկայականներ, ժամկետանց. Խաչաձև ստորագրումը երաշխավորեց, որ Let's Encrypt վկայագրերը վստահված են սարքերի, օպերացիոն համակարգերի և բրաուզերների լայն շրջանակում, մինչդեռ Let's Encrypt-ի սեփական արմատային վկայագիրը ինտեգրված է արմատային վկայագրերի խանութներում:
Ի սկզբանե ծրագրվում էր, որ DST Root CA X3-ի հնացումից հետո Let's Encrypt նախագիծը կանցնի ստորագրություններ ստեղծելու՝ օգտագործելով միայն իր արմատային վկայագիրը, սակայն նման քայլը կհանգեցնի համատեղելիության կորստի մեծ թվով հին համակարգերի հետ, որոնք չեն: ավելացնել Let's Encrypt արմատային վկայագիրը իրենց պահեստներում: Մասնավորապես, օգտագործվող Android սարքերի մոտավորապես 30%-ը տվյալներ չունի Let's Encrypt արմատային վկայագրի վերաբերյալ, որի աջակցությունը հայտնվել է միայն 7.1.1 թվականի վերջին թողարկված Android 2016 պլատֆորմից սկսած։
Let's Encrypt-ը չէր նախատեսում կնքել նոր խաչաձև ստորագրության համաձայնագիր, քանի որ դա լրացուցիչ պատասխանատվություն է դնում պայմանագրի կողմերի վրա, զրկում է նրանց անկախությունից և կապում նրանց ձեռքերը՝ այլ սերտիֆիկացման մարմնի բոլոր ընթացակարգերին և կանոններին համապատասխանելու առումով: Բայց մեծ թվով Android սարքերում հնարավոր խնդիրների պատճառով ծրագիրը վերանայվեց: IdenTrust սերտիֆիկացման մարմնի հետ կնքվել է նոր պայմանագիր, որի շրջանակներում ստեղծվել է այլընտրանքային խաչաձև ստորագրված Let's Encrypt միջանկյալ վկայականը։ Խաչաձև ստորագրությունը ուժի մեջ կլինի երեք տարի և կպահպանի Android սարքերի աջակցությունը՝ սկսած 2.3.6 տարբերակից:
Այնուամենայնիվ, նոր միջանկյալ վկայագիրը չի ներառում բազմաթիվ այլ ժառանգական համակարգեր: Օրինակ, երբ սեպտեմբերի 3-ին DST Root CA X30 վկայականը հնանում է, Let's Encrypt վկայագրերն այլևս չեն ընդունվի չաջակցվող որոնվածի և օպերացիոն համակարգերի վրա, որոնք պահանջում են ձեռքով ավելացնել ISRG Root X1 վկայագիրը արմատային վկայագրերի պահեստում՝ Let's Encrypt վկայագրերի նկատմամբ վստահությունն ապահովելու համար: . Խնդիրները դրսևորվելու են հետևյալում.
- OpenSSL մինչև մասնաճյուղ 1.0.2 ներառյալ (ճյուղ 1.0.2-ի սպասարկումը դադարեցվել է 2019 թվականի դեկտեմբերին);
- ԱՎԾ < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
OpenSSL 1.0.2-ի դեպքում խնդիրն առաջանում է սխալի պատճառով, որը թույլ չի տալիս խաչաձև ստորագրված վկայագրերի ճիշտ մշակումը, եթե ստորագրման համար օգտագործվող արմատային վկայականներից մեկի ժամկետը լրանա, նույնիսկ եթե վստահության այլ վավեր շղթաներ մնան: Խնդիրն առաջին անգամ ի հայտ եկավ անցյալ տարի այն բանից հետո, երբ AddTrust վկայականը, որն օգտագործվում էր Sectigo (Comodo) սերտիֆիկացման մարմնի վկայագրերը խաչաձև ստորագրելու համար, հնացել էր: Խնդիրի էությունը կայանում է նրանում, որ OpenSSL-ը սերտիֆիկատը վերլուծել է որպես գծային շղթա, մինչդեռ, ըստ RFC 4158-ի, վկայագիրը կարող է ներկայացնել ուղղորդված բաշխված շրջանաձև գրաֆիկ մի քանի վստահելի խարիսխներով, որոնք պետք է հաշվի առնել:
OpenSSL 1.0.2-ի վրա հիմնված հին բաշխումների օգտատերերին առաջարկվում է խնդրի լուծման երեք լուծում.
- Ձեռքով հեռացրեց IdenTrust DST Root CA X3 արմատային վկայագիրը և տեղադրեց ինքնուրույն (ոչ խաչաձև ստորագրված) ISRG Root X1 արմատային վկայագիրը:
- Openssl verify և s_client հրամանները գործարկելիս կարող եք նշել «-trusted_first» տարբերակը:
- Սերվերի վրա օգտագործեք վկայագիր, որը վավերացված է առանձին արմատային վկայականով SRG Root X1, որը չունի խաչաձև ստորագրություն: Այս մեթոդը կհանգեցնի Android-ի հին հաճախորդների հետ համատեղելիության կորստի:
Բացի այդ, մենք կարող ենք նշել, որ «Let's Encrypt» նախագիծը հաղթահարել է երկու միլիարդ գեներացված վկայականների նշաձողը: Մեկ միլիարդ նշաձողը հասել է անցյալ տարվա փետրվարին: Օրական ստեղծվում է 2.2-2.4 մլն նոր վկայական։ Ակտիվ սերտիֆիկատների թիվը 192 միլիոն է (վկայականն ուժի մեջ է երեք ամիս) և ընդգրկում է մոտ 260 միլիոն տիրույթ (195 միլիոն տիրույթ ծածկվել է մեկ տարի առաջ, 150 միլիոն երկու տարի առաջ, 60 միլիոն երեք տարի առաջ): Firefox Telemetry ծառայության վիճակագրության համաձայն, HTTPS-ի միջոցով էջերի հարցումների համաշխարհային մասնաբաժինը կազմում է 82% (մեկ տարի առաջ՝ 81%, երկու տարի առաջ՝ 77%, երեք տարի առաջ՝ 69%, չորս տարի առաջ՝ 58%)։
Source: opennet.ru