Kanggo browser kanggo keasliane situs web, iku menehi dhewe karo chain certificate bener. A chain khas kapacak ing ndhuwur, lan bisa uga ana luwih saka siji certificate penengah. Jumlah sertifikat minimal ing rantai sing sah yaiku telung.
Sertifikat ROOT minangka jantung otoritas sertifikat. Iku secara harfiah dibangun ing OS utawa browser, iku fisik saiki ing piranti. Iku ora bisa diganti saka sisih server. Nganyari paksa OS utawa perangkat kukuh ing piranti dibutuhake.
Spesialis Keamanan Scott Helme , yen masalah utama bakal muncul karo wewenang sertifikasi Ayo Encrypt, amarga dina iki minangka CA paling populer ing Internet, lan sertifikat oyod bakal dadi ala. Ngganti root Ayo Encrypt .
Sertifikat pungkasan lan penengah saka otoritas sertifikasi (CA) dikirim menyang klien saka server, lan sertifikat ROOT saka klien wis, supaya kanthi koleksi sertifikat iki, siji bisa mbangun rantai lan otentikasi situs web.
Masalahe yaiku saben sertifikat duwe tanggal kadaluwarsa, sawise iku kudu diganti. Contone, wiwit tanggal 1 September 2020, dheweke ngrancang ngenalake watesan babagan wektu validitas sertifikat TLS server ing browser Safari. .
Iki tegese kita kabeh kudu ngganti sertifikat server paling sethithik saben 12 wulan. Watesan iki mung ditrapake kanggo sertifikat server; iku ora ditrapake kanggo sertifikat CA ROOT.
Sertifikat CA diatur dening macem-macem aturan lan mulane duwe watesan validitas sing beda. Biasane nemokake sertifikat penengah kanthi wektu validitas 5 taun lan sertifikat root kanthi umur layanan malah 25 taun!
Biasane ora ana masalah karo sertifikat penengah, amarga diwenehake menyang klien dening server, sing dhewe ngganti sertifikat dhewe luwih asring, mula mung ngganti sing penengah ing proses kasebut. Iku cukup gampang kanggo ngganti bebarengan karo sertifikat server, ora kaya certificate ROOT CA.
Kita wis ngandika, ROOT CA dibangun langsung menyang piranti klien dhewe, menyang OS, browser utawa piranti lunak liyane. Ngganti CA ROOT ngluwihi kontrol situs web. Iki mbutuhake nganyari klien, dadi OS utawa nganyari piranti lunak.
Sawetara CA ROOT wis suwe banget, kita ngomong babagan 20-25 taun. Rauh sawetara saka CA ROOT paling tuwa bakal nyedhaki mburi urip alam, wektu iku meh munggah. Kanggo umume kita, iki ora bakal dadi masalah amarga CA wis nggawe sertifikat root anyar lan wis disebar ing saindenging jagad ing nganyari OS lan browser nganti pirang-pirang taun. Nanging yen wong wis ora nganyari OS utawa browser ing wektu sing dawa banget, iku jenis masalah.
Kahanan iki kedadeyan tanggal 30 Mei 2020 jam 10:48:38 GMT. Iki wektu sing tepat nalika saka panguwasa sertifikasi Comodo (Sectigo).
Iki digunakake kanggo tandha silang kanggo mesthekake kompatibilitas karo piranti lawas sing ora duwe sertifikat ROOT USERTrust anyar ing toko.
Sayange, masalah muncul ora mung ing browser lawas, nanging uga ing klien non-browser adhedhasar OpenSSL 1.0.x, LibreSSL lan . Contone, ing kothak set-top , layanan , ing Fortinet, aplikasi Chargify, ing platform .NET Core 2.0 kanggo Linux lan .
Dianggep masalah kasebut mung mengaruhi sistem warisan (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, lan sapiturute), amarga browser modern bisa nggunakake sertifikat ROOT USERTRust kapindho. Nanging nyatane, kegagalan wiwit ing atusan layanan web sing nggunakake perpustakaan OpenSSL 1.0.x lan GnuTLS gratis. Sambungan sing aman ora bisa digawe maneh kanthi pesen kesalahan sing nuduhake yen sertifikat wis kadaluwarsa.
Sabanjure - Ayo Encrypt
Conto liyane sing apik babagan owah-owahan CA ROOT sing bakal teka yaiku panguwasa sertifikat Ayo Encrypt. More padha ngrancang kanggo ngalih saka chain Identrust kanggo chain ROOT ISRG dhewe, nanging iki .
"Amarga kuwatir babagan kekurangan adopsi ROOT ISRG ing piranti Android, kita mutusake mindhah tanggal transisi root asli saka 8 Juli 2019 nganti 8 Juli 2020," ujare Let's Encrypt ing pratelan.
Tanggal kasebut kudu ditundha amarga ana masalah sing diarani "propagasi root", utawa luwih tepat, kekurangan panyebaran ROOT, nalika CA ROOT ora disebarake kanthi akeh ing kabeh klien.
Ayo Encrypt saiki nggunakake sertifikat penengah sing ditandatangani salib sing dirantai menyang IdenTrust DST Root CA X3. Sertifikat root iki ditanggepi maneh ing September 2000 lan kadaluwarsa tanggal 30 September 2021. Nganti saiki, Ayo Encrypt rencana pindhah menyang ISRG Root X1 sing ditandatangani dhewe.
ROOT ISRG dirilis tanggal 4 Juni 2015. Sawise iki, proses persetujuan minangka otoritas sertifikasi diwiwiti, sing rampung . Saka titik iki, CA ROOT kasedhiya kanggo kabeh klien liwat sistem operasi utawa nganyari piranti lunak. Sampeyan mung kudu nginstal nganyari.
Nanging sing masalah.
Yen ponsel, TV utawa piranti liyane wis ora dianyari rong taun, carane bakal ngerti bab ROOT certificate ROOT X1 anyar? Lan yen sampeyan ora nginstal ing sistem, piranti sampeyan bakal mbatalake kabeh sertifikat server Ayo Encrypt sanalika Ayo Encrypt ngalih menyang root anyar. Lan ing ekosistem Android ana akeh piranti lawas sing wis suwe ora dianyari.
ekosistem Android
Mulane Ayo Encrypt ditundha pindhah menyang ROOT ISRG dhewe lan isih nggunakake penengah sing mudhun menyang ROOT IdenTrust. Nanging transisi kudu ditindakake ing kasus apa wae. Lan tanggal pangowahan ROOT diutus .
Kanggo mriksa manawa ROOT ISRG X1 wis diinstal ing piranti (TV, set-top box utawa klien liyane), bukak situs tes. . Yen ora ana bebaya keamanan sing katon, mula kabeh biasane apik.
Ayo Encrypt ora mung siji sing ngadhepi tantangan migrasi menyang oyod anyar. Kriptografi ing Internet wiwit digunakake luwih saka 20 taun kepungkur, mula saiki iki wektu nalika akeh sertifikat root bakal kadaluwarsa.
Pamilik TV cerdas sing wis pirang-pirang taun ora nganyari piranti lunak Smart TV bisa nemoni masalah iki. Contone, ROOT GlobalSign anyar dirilis ing 2012, lan sawise sawetara Smart TV lawas ora bisa mbangun chain menyang, amarga padha ora duwe ROOT CA iki. Utamane, klien kasebut ora bisa nggawe sambungan aman menyang situs web bbc.co.uk. Kanggo ngatasi masalah kasebut, para pangurus BBC kudu nggunakake trik: dheweke liwat sertifikat penengah tambahan, nggunakake werna lawas ΠΈ , sing durung bosok.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Intermediate) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (Intermediate)
Iki minangka solusi sementara. Masalah ora bakal ilang kajaba sampeyan nganyari piranti lunak klien. TV pinter iku ateges komputer fungsi winates sing nganggo Linux. Lan tanpa nganyari, sertifikat ROOT bakal dadi bosok.
Iki ditrapake kanggo kabeh piranti, ora mung TV. Yen sampeyan duwe piranti apa wae sing disambungake menyang Internet lan diiklanake minangka piranti "pinter", mula masalah karo sertifikat bosok meh mesthi ana. Yen piranti ora dianyari, nyimpen CA ROOT bakal dadi outdated liwat wektu lan pungkasanipun masalah bakal muncul. Suwene masalah kedadeyan gumantung nalika nyimpen root pungkasan dianyari. Iki bisa uga sawetara taun sadurunge tanggal rilis piranti kasebut.
Miturut cara, iki masalah kenapa sawetara platform media gedhe ora bisa nggunakake panguwasa sertifikat otomatis modern kaya Ayo Encrypt, nyerat Scott Helme. Padha ora cocok kanggo TV pinter, lan jumlah werna cilik banget kanggo njamin support certificate ing piranti warisan. Yen ora, TV mung ora bakal bisa mbukak layanan streaming modern.
Kedadeyan paling anyar karo AddTrust nuduhake manawa perusahaan IT sing gedhe-gedhe ora disiapake kanggo kasunyatan manawa sertifikat ROOT kadaluwarsa.
Mung ana siji solusi kanggo masalah - nganyari. Pangembang piranti pinter kudu nyedhiyakake mekanisme kanggo nganyari piranti lunak lan sertifikat root luwih dhisik. Ing sisih liya, manufaktur ora duwe bathi kanggo njamin operasi piranti kasebut sawise periode garansi kadaluwarsa.
Source: www.habr.com