Til þess að vafri geti auðkennt vefsíðu sýnir hann sig með gilda vottorðakeðju. Dæmigerð keðja er sýnd hér að ofan og það geta verið fleiri en eitt millivottorð. Lágmarksfjöldi vottorða í gildri keðju er þrjú.
Rótarvottorðið er hjarta vottorðsyfirvaldsins. Það er bókstaflega innbyggt í stýrikerfið þitt eða vafra, það er líkamlega til staðar í tækinu þínu. Það er ekki hægt að breyta því frá miðlarahliðinni. Þvinguð uppfærsla á stýrikerfinu eða fastbúnaði tækisins er nauðsynleg.
Öryggissérfræðingurinn Scott Helme , að helstu vandamálin muni koma upp með Let's Encrypt vottunaryfirvöldum, því í dag er það vinsælasta CA á netinu og rótarvottorð þess mun brátt fara illa. Breyting á Let's Encrypt rót .
Loka- og millivottorð vottunaryfirvaldsins (CA) eru afhent viðskiptavininum frá þjóninum og rótarvottorðið er frá viðskiptavininum hefur þegar, þannig að með þessu safni vottorða er hægt að byggja upp keðju og sannvotta vefsíðu.
Vandamálið er að hvert vottorð hefur fyrningardagsetningu, eftir það þarf að skipta um það. Til dæmis, frá 1. september 2020, ætla þeir að taka upp takmörkun á gildistíma TLS vottorða netþjóna í Safari vafranum .
Þetta þýðir að við verðum öll að skipta um netþjónaskírteini okkar að minnsta kosti á 12 mánaða fresti. Þessi takmörkun á aðeins við um netþjónavottorð; það ekki á við um rót CA vottorð.
CA vottorð lúta mismunandi reglum og hafa því mismunandi gildismörk. Mjög algengt er að finna millivottorð með 5 ára gildistíma og rótarvottorð með endingartíma jafnvel 25 ár!
Það eru yfirleitt engin vandamál með millivottorð, því þau eru afhent til viðskiptavinarins af þjóninum, sem sjálfur breytir sínu eigin vottorði miklu oftar, svo hann kemur einfaldlega í stað millistigsins í ferlinu. Það er frekar auðvelt að skipta um það ásamt netþjónsvottorðinu, ólíkt rót CA vottorðinu.
Eins og við höfum áður sagt er rót CA innbyggt beint inn í biðlaratækið sjálft, inn í stýrikerfið, vafrann eða annan hugbúnað. Breyting á rót CA er ekki undir stjórn vefsíðunnar. Þetta krefst uppfærslu á biðlara, hvort sem það er stýrikerfi eða hugbúnaðaruppfærsla.
Sum rót CA hafa verið til í mjög langan tíma, við erum að tala um 20-25 ár. Bráðum munu nokkrir af elstu rót-CAs nálgast endalok náttúrulegs lífs síns, tími þeirra er næstum búinn. Fyrir flest okkar mun þetta alls ekki vera vandamál vegna þess að CA hafa búið til ný rótarvottorð og þeim hefur verið dreift um allan heim í stýrikerfi og vafrauppfærslum í mörg ár. En ef einhver hefur ekki uppfært stýrikerfið sitt eða vafrann í mjög langan tíma, þá er það nokkurs konar vandamál.
Þetta ástand átti sér stað 30. maí 2020 klukkan 10:48:38 GMT. Þetta er nákvæmlega tíminn þegar frá Comodo vottunaryfirvöldum (Sectigo).
Það var notað til krossundirritunar til að tryggja samhæfni við eldri tæki sem eru ekki með nýja USERTrust rótarvottorð í verslun sinni.
Því miður komu vandamál ekki aðeins upp í eldri vöfrum, heldur einnig í viðskiptavinum sem ekki eru vafrar byggðir á OpenSSL 1.0.x, LibreSSL og . Til dæmis í set-top box , þjónustu , í Fortinet, Chargify forritum, á .NET Core 2.0 pallinum fyrir Linux og .
Gert var ráð fyrir að vandamálið myndi aðeins hafa áhrif á eldri kerfi (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, osfrv.), Þar sem nútíma vafrar geta notað annað USERTRust rótarvottorð. En í raun hófust bilanir í hundruðum vefþjónustu sem notuðu ókeypis OpenSSL 1.0.x og GnuTLS bókasöfnin. Ekki var lengur hægt að koma á öruggri tengingu með villuboðum sem gefa til kynna að vottorðið væri úrelt.
Næst - Við skulum dulkóða
Annað gott dæmi um væntanlega breytingu á rót CA er Let's Encrypt vottunarvaldið. Meira þeir ætluðu að skipta úr Identrust keðjunni yfir í sína eigin ISRG Root keðju, en þetta .
„Vegna áhyggjum um skort á upptöku ISRG rótar á Android tækjum höfum við ákveðið að færa dagsetningu innfæddra rótarskipta frá 8. júlí 2019 til 8. júlí 2020,“ sagði Let's Encrypt í yfirlýsingu.
Fresta þurfti dagsetningunni vegna vandamáls sem kallast „rótarfjölgun“, eða nánar tiltekið, skorts á rótfjölgun, þegar rót CA er ekki mjög dreift yfir alla viðskiptavini.
Let's Encrypt notar sem stendur krossundirritað millivottorð sem er hlekkjað við IdenTrust DST rót CA X3. Þetta rótarvottorð var gefið út í september 2000 og rennur út 30. september 2021. Þangað til þá ætlar Let's Encrypt að flytja yfir í eigin sjálfsundirritaða ISRG Root X1.
ISRG rót gefin út 4. júní 2015. Eftir þetta hófst samþykkisferlið sem vottunaryfirvald sem lauk . Frá þessum tímapunkti var rót CA í boði fyrir alla viðskiptavini í gegnum stýrikerfi eða hugbúnaðaruppfærslu. Allt sem þú þurftir að gera var að setja upp uppfærsluna.
En það er vandamálið.
Ef farsíminn þinn, sjónvarpið eða annað tæki hefur ekki verið uppfært í tvö ár, hvernig mun það vita um nýja ISRG Root X1 rótarvottorðið? Og ef þú setur það ekki upp á kerfinu, þá mun tækið þitt ógilda öll Let's Encrypt miðlaravottorð um leið og Let's Encrypt skiptir yfir í nýja rót. Og í Android vistkerfinu eru mörg gamaldags tæki sem hafa ekki verið uppfærð í langan tíma.
Android vistkerfi
Þetta er ástæðan fyrir því að Let's Encrypt seinkaði því að flytja í sína eigin ISRG rót og notar samt millistig sem fer niður í IdenTrust rótina. En umskiptin verða að fara fram í öllum tilvikum. Og dagsetning rótarbreytingar er úthlutað .
Til að athuga hvort ISRG X1 rót sé uppsett á tækinu þínu (sjónvarpi, set-top box eða annar viðskiptavinur), opnaðu prófunarsíðuna . Ef engin öryggisviðvörun birtist, þá er yfirleitt allt í lagi.
Let's Encrypt er ekki sá eini sem stendur frammi fyrir þeirri áskorun að flytjast yfir í nýja rót. Dulritun á Netinu byrjaði að nota fyrir rúmum 20 árum síðan, svo nú er tíminn þegar mörg rótarskírteini eru að renna út.
Eigendur snjallsjónvarpstækja sem hafa ekki uppfært snjallsjónvarpshugbúnaðinn í mörg ár gætu lent í þessu vandamáli. Til dæmis, nýja GlobalSign rót kom út árið 2012, og eftir að sum gömul snjallsjónvörp geta ekki byggt keðju við það, vegna þess að þau hafa einfaldlega ekki þennan rót CA. Einkum gátu þessir viðskiptavinir ekki komið á öruggri tengingu við vefsíðu bbc.co.uk. Til að leysa vandamálið þurftu stjórnendur BBC að grípa til brellu: þeir í gegnum viðbótar millistigsvottorð, með gömlum rótum и , sem enn eru ekki orðnir rotnir.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (millistig) GlobalSign rót CA - R5 (millistig) GlobalSign rót CA - R3 (millistig)
Þetta er bráðabirgðalausn. Vandamálið hverfur ekki nema þú uppfærir biðlarahugbúnaðinn. Snjallsjónvarp er í rauninni tölva með takmarkaða virkni sem keyrir Linux. Og án uppfærslur verða rótarvottorð þess óhjákvæmilega rotið.
Þetta á við um öll tæki, ekki bara sjónvörp. Ef þú ert með tæki sem er tengt við internetið og var auglýst sem „snjall“ tæki, þá snertir vandamálið með rotin vottorð nánast örugglega það. Ef tækið er ekki uppfært mun rót CA verslunin verða úrelt með tímanum og að lokum mun vandamálið koma upp á yfirborðið. Hversu fljótt vandamálið kemur upp fer eftir því hvenær rótarverslunin var síðast uppfærð. Þetta gæti verið nokkrum árum fyrir raunverulegan útgáfudag tækisins.
Við the vegur, þetta er vandamálið hvers vegna sumir stórir fjölmiðlapallar geta ekki notað nútíma sjálfvirk vottunaryfirvöld eins og Let's Encrypt, skrifar Scott Helme. Þau henta ekki fyrir snjallsjónvörp og fjöldi róta er of lítill til að tryggja vottorðsstuðning á eldri tækjum. Annars mun sjónvarp einfaldlega ekki geta hleypt af stokkunum nútíma streymisþjónustum.
Nýjasta atvikið með AddTrust sýndi að jafnvel stór upplýsingatæknifyrirtæki eru ekki tilbúin fyrir þá staðreynd að rótarvottorðið rennur út.
Það er aðeins ein lausn á vandamálinu - uppfærsla. Hönnuðir snjalltækja verða að útvega kerfi til að uppfæra hugbúnað og rótarvottorð fyrirfram. Á hinn bóginn er ekki hagkvæmt fyrir framleiðendur að tryggja rekstur tækja sinna eftir að ábyrgðartíminn rennur út.
Heimild: www.habr.com