Þann 30. september klukkan 17:01 að Moskvutíma, IdenTrust rótarvottorð (DST Root CA X3), sem var notað til að krossrita rótarvottorð Let's Encrypt vottunaryfirvaldsins (ISRG Root X1), sem er stjórnað af samfélaginu og veitir öllum skírteini að kostnaðarlausu, rennur út. Krossundirritun tryggði að Let's Encrypt vottorðum var treyst á fjölmörgum tækjum, stýrikerfum og vöfrum á meðan Let's Encrypt eigin rótarvottorð var samþætt í rótarvottorðsgeymslur.
Upphaflega var áformað að eftir að DST Root CA X3 væri aflagt myndi Let's Encrypt verkefnið skipta yfir í að búa til undirskriftir með því að nota eingöngu rótarvottorð þess, en slík aðgerð myndi leiða til taps á samhæfni við fjölda eldri kerfa sem gerðu það ekki. bæta Let's Encrypt rótarvottorðinu við geymslurnar sínar. Sérstaklega eru um það bil 30% af Android tækjum sem eru í notkun ekki með gögn um Let's Encrypt rótarvottorðið, en stuðningur við það birtist aðeins frá Android 7.1.1 pallinum, gefinn út í lok árs 2016.
Let's Encrypt ætlaði ekki að gera nýjan krossundirskriftarsamning, þar sem þetta leggur aukna ábyrgð á aðila samningsins, sviptir þá sjálfstæði og bindur hendur þeirra hvað varðar að farið sé að öllum verklagsreglum og reglum annars vottunaryfirvalds. En vegna hugsanlegra vandamála á miklum fjölda Android tækja var áætlunin endurskoðuð. Gerður var nýr samningur við IdenTrust vottunaryfirvaldið, innan þess ramma sem annað krossundirritað Let's Encrypt millivottorð var búið til. Krossundirskriftin mun gilda í þrjú ár og mun viðhalda stuðningi fyrir Android tæki sem byrja með útgáfu 2.3.6.
Hins vegar nær nýja millivottorðið ekki yfir mörg önnur eldri kerfi. Til dæmis, þegar DST Root CA X3 vottorðið fellur úr gildi 30. september, verður Let's Encrypt vottorð ekki lengur samþykkt á óstuddum fastbúnaði og stýrikerfum sem krefjast þess að ISRG Root X1 vottorðinu sé bætt handvirkt við rótarvottorðsgeymsluna til að tryggja traust á Let's Encrypt vottorðum . Vandamál munu koma fram í:
- OpenSSL allt að útibú 1.0.2 að meðtöldum (viðhaldi útibús 1.0.2 var hætt í desember 2019);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
Þegar um er að ræða OpenSSL 1.0.2 stafar vandamálið af villu sem kemur í veg fyrir að krossundirrituð skilríki séu unnin á réttan hátt ef eitt af rótarskírteinum sem notuð eru til undirritunar rennur út, jafnvel þótt aðrar gildar traustkeðjur séu eftir. Vandamálið kom fyrst upp á síðasta ári eftir að AddTrust vottorðið sem notað var til að krossrita vottorð frá Sectigo (Comodo) vottunaryfirvaldinu varð úrelt. Kjarni vandans er að OpenSSL greindi vottorðið sem línulega keðju, en samkvæmt RFC 4158 getur vottorð táknað beint dreift hringlaga línurit með mörgum traustakkerum sem þarf að taka tillit til.
Notendum eldri dreifingar byggðar á OpenSSL 1.0.2 býðst þrjár lausnir til að leysa vandamálið:
- Fjarlægði IdenTrust DST Root CA X3 rótarvottorðið handvirkt og setti upp sjálfstæða (ekki krossundirritaða) ISRG Root X1 rótarvottorðið.
- Þegar þú keyrir openssl verify og s_client skipanirnar geturðu tilgreint „--trusted_first“ valkostinn.
- Notaðu á þjóninum vottorð vottað af sérstöku rótarvottorði SRG Root X1, sem er ekki með krossundirskrift. Þessi aðferð mun leiða til taps á eindrægni við eldri Android viðskiptavini.
Að auki getum við tekið eftir því að Let's Encrypt verkefnið hefur sigrast á tímamótum tveggja milljarða mynda skírteina. Milljarða áfanganum var náð í febrúar á síðasta ári. 2.2-2.4 milljónir nýrra skírteina myndast daglega. Fjöldi virkra skírteina er 192 milljónir (skírteini gildir í þrjá mánuði) og nær til um 260 milljóna léna (195 milljónir léna voru þakin fyrir ári, 150 milljónir fyrir tveimur árum, 60 milljónir fyrir þremur árum). Samkvæmt tölfræði frá Firefox Telemetry þjónustunni er alþjóðlegt hlutfall síðubeiðna í gegnum HTTPS 82% (fyrir ári - 81%, fyrir tveimur árum - 77%, fyrir þremur árum - 69%, fyrir fjórum árum - 58%).
Heimild: opennet.ru