Браузер веб-сайтты аутентификациялау үшін жарамды сертификат тізбегін көрсетеді. Әдеттегі тізбек жоғарыда көрсетілген және бірнеше аралық сертификат болуы мүмкін. Жарамды тізбектегі сертификаттардың ең аз саны - үш.
Түбірлік сертификат сертификаттау органының жүрегі болып табылады. Ол сіздің операциялық жүйеңізге немесе шолғышыңызға тікелей орнатылған, ол сіздің құрылғыңызда физикалық түрде бар. Оны сервер жағынан өзгерту мүмкін емес. Құрылғыдағы ОЖ немесе микробағдарламаны мәжбүрлі жаңарту қажет.
Қауіпсіздік жөніндегі маман Скотт Хельме , негізгі мәселелер Let's Encrypt сертификаттау органында туындайтынын, себебі бүгінде ол Интернеттегі ең танымал CA болып табылады және оның түбірлік сертификаты жақын арада нашарлайды. Let's Encrypt түбірін өзгерту .
Сертификаттау орталығының (CA) соңғы және аралық сертификаттары клиентке серверден, ал түбірлік сертификат клиенттен жеткізіледі. енді бар, сондықтан осы сертификаттар жинағы арқылы тізбекті құруға және веб-сайтты аутентификациялауға болады.
Мәселе мынада, әрбір сертификаттың жарамдылық мерзімі бар, содан кейін оны ауыстыру қажет. Мысалы, 1 жылдың 2020 қыркүйегінен бастап олар Safari браузерінде сервер TLS сертификаттарының әрекет ету мерзіміне шектеу енгізуді жоспарлап отыр. .
Бұл сервер сертификаттарын кем дегенде 12 ай сайын ауыстыруымыз керек дегенді білдіреді. Бұл шектеу тек сервер сертификаттарына қолданылады; ол емес түбірлік CA сертификаттарына қолданылады.
CA сертификаттары басқа ережелер жиынтығымен реттеледі, сондықтан әртүрлі жарамдылық шегі болады. Қолданылу мерзімі 5 жыл болатын аралық сертификаттарды және тіпті 25 жыл қызмет ету мерзімі бар түбірлік сертификаттарды табу өте жиі кездеседі!
Әдетте аралық сертификаттармен проблемалар болмайды, өйткені олар клиентке сервер арқылы жеткізіледі, оның өзі өз сертификатын әлдеқайда жиі өзгертеді, сондықтан ол процесс барысында аралық сертификатты ауыстырады. Түбірлік CA сертификатынан айырмашылығы оны сервер сертификатымен ауыстыру өте оңай.
Жоғарыда айтқанымыздай, түбірлік CA тікелей клиенттік құрылғының өзіне, ОЖ-ға, браузерге немесе басқа бағдарламалық құралға салынған. Түбірлік CA өзгерту веб-сайттың бақылауынан тыс. Бұл операциялық жүйе немесе бағдарламалық құрал жаңартуы болсын, клиентті жаңартуды қажет етеді.
Кейбір түбірлік CA өте ұзақ уақыт бойы болды, біз 20-25 жыл туралы айтып отырмыз. Жақында кейбір ең көне түбірлік CA табиғи өмірінің соңына жақындайды, олардың уақыты аяқталуға жақын. Көпшілігіміз үшін бұл мүлдем қиындық тудырмайды, өйткені CA жаңа түбірлік сертификаттарды жасады және олар көптеген жылдар бойы ОЖ және браузер жаңартуларында бүкіл әлемге таратылды. Бірақ егер біреу ОС немесе браузерді ұзақ уақыт бойы жаңартпаса, бұл мәселенің бір түрі.
Бұл жағдай 30 жылдың 2020 мамырында GMT 10:48:38-де орын алды. Дәл осы уақыт Comodo сертификаттау орталығынан (Sectigo).
Дүкенде жаңа USERTrust түбірлік куәлігі жоқ ескі құрылғылармен үйлесімділікті қамтамасыз ету үшін ол айқас қол қою үшін пайдаланылды.
Өкінішке орай, проблемалар тек ескі браузерлерде ғана емес, сонымен қатар OpenSSL 1.0.x, LibreSSL және негізіндегі шолғыш емес клиенттерде де пайда болды. . Мысалы, приставкаларда , қызмет көрсету , Fortinet жүйесінде, Chargify қолданбаларында, Linux үшін .NET Core 2.0 платформасында және .
Мәселе тек ескі жүйелерге (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 және т.б.) әсер етеді деп болжанған, өйткені қазіргі заманғы браузерлер екінші USERTRust түбірлік сертификатын пайдалана алады. Бірақ шын мәнінде, тегін OpenSSL 1.0.x және GnuTLS кітапханаларын пайдаланатын жүздеген веб-қызметтерде сәтсіздіктер басталды. Сертификаттың ескіргенін көрсететін қате туралы хабармен қауіпсіз қосылымды орнату бұдан былай мүмкін болмады.
Келесі - Шифрлаймыз
Түбірлік CA өзгертуінің тағы бір жақсы мысалы - Let's Encrypt сертификат органы. Көбірек олар Identtrust тізбегінен өздерінің ISRG Root тізбегіне ауысуды жоспарлады, бірақ бұл .
«Android құрылғыларында ISRG түбірінің қабылданбауына байланысты алаңдаушылыққа байланысты біз түбірге көшу күнін 8 жылдың 2019 шілдесінен 8 жылдың 2020 шілдесіне ауыстыру туралы шешім қабылдадық», - делінген Let's Encrypt мәлімдемесінде.
Күнді «тамырдың таралуы» деп аталатын мәселеге байланысты кейінге қалдыруға тура келді, дәлірек айтқанда, CA түбірлік CA барлық клиенттерге өте кең таралмаған кезде, тамырдың таралуының болмауы.
Let's Encrypt қазіргі уақытта IdenTrust DST Root CA X3 тізбегіне қосылған айқаспалы қол қойылған аралық сертификатты пайдаланады. Бұл түбірлік куәлік 2000 жылдың қыркүйегінде берілген және мерзімі 30 жылдың 2021 қыркүйегінде аяқталады. Осы уақытқа дейін Let's Encrypt өзінің дербес қолтаңбасы бар ISRG Root X1 жүйесіне көшуді жоспарлап отыр.
ISRG түбірі 4 жылдың 2015 маусымында шығарылды. Осыдан кейін оны сертификаттау орталығы ретінде бекіту процесі басталды, ол аяқталды . Осы сәттен бастап CA түбірлік жүйесі операциялық жүйе немесе бағдарламалық құралды жаңарту арқылы барлық клиенттерге қолжетімді болды. Сізге тек жаңартуды орнату қажет болды.
Бірақ мәселе сонда.
Ұялы телефоныңыз, теледидарыңыз немесе басқа құрылғыңыз екі жыл бойы жаңартылмаса, ол жаңа ISRG Root X1 түбірлік сертификаты туралы қайдан біледі? Ал егер оны жүйеге орнатпасаңыз, Let's Encrypt жаңа түбірге ауысқан кезде құрылғыңыз барлық Let's Encrypt сервер сертификаттарын жарамсыз етеді. Ал Android экожүйесінде ұзақ уақыт бойы жаңартылмаған көптеген ескірген құрылғылар бар.
Android экожүйесі
Сондықтан Let's Encrypt өзінің ISRG түбіріне көшуді кешіктірді және әлі де IdenTrust түбіріне түсетін аралық өнімді пайдаланады. Бірақ көшу кез келген жағдайда жасалуы керек. Ал түбірді өзгерту күні тағайындалады .
Құрылғыда (теледидар, приставка немесе басқа клиент) ISRG X1 түбірінің орнатылғанын тексеру үшін сынақ сайтын ашыңыз. . Қауіпсіздік ескертуі пайда болмаса, әдетте бәрі жақсы.
Let's Encrypt жаңа түбірге көшу мәселесіне тап болған жалғыз адам емес. Интернеттегі криптография 20 жылдан астам уақыт бұрын қолданыла бастады, сондықтан қазір көптеген түбірлік сертификаттардың мерзімі аяқталуға жақын уақыт.
Көптеген жылдар бойы Smart TV бағдарламалық құралын жаңартпаған смарт теледидарлардың иелері бұл мәселеге тап болуы мүмкін. Мысалы, жаңа GlobalSign түбірі 2012 жылы шығарылды және кейбір ескі Smart теледидарлар оған тізбек құра алмайды, өйткені оларда бұл түбірлік CA жоқ. Атап айтқанда, бұл клиенттер bbc.co.uk веб-сайтына қауіпсіз байланыс орната алмады. Мәселені шешу үшін BBC әкімшілері қулыққа баруға мәжбүр болды: олар ескі түбірлерді пайдалана отырып, қосымша аралық сертификаттар арқылы и , олар әлі шіріген жоқ.
www.bbc.co.uk (Жапырақ) GlobalSign ECC OV SSL CA 2018 (орта) GlobalSign Root CA - R5 (аралық) GlobalSign Root CA - R3 (аралық)
Бұл уақытша шешім. Клиенттік бағдарламалық құралды жаңартпасаңыз, мәселе шешілмейді. Смарт теледидар – Linux жүйесінде жұмыс істейтін шектеулі функционалды компьютер. Жаңартуларсыз оның түбірлік сертификаттары сөзсіз шірік болады.
Бұл теледидарларға ғана емес, барлық құрылғыларға қатысты. Егер сізде Интернетке қосылған және «ақылды» құрылғы ретінде жарнамаланған кез келген құрылғы болса, шірік сертификаттармен байланысты мәселе оған қатысты. Құрылғы жаңартылмаса, түбірлік CA қоймасы уақыт өте келе ескіреді және ақырында мәселе пайда болады. Мәселе қаншалықты тез пайда болатыны түбірлік қойма соңғы рет қашан жаңартылғанына байланысты. Бұл құрылғының нақты шығарылған күнінен бірнеше жыл бұрын болуы мүмкін.
Айтпақшы, бұл кейбір ірі медиа платформалардың Let's Encrypt сияқты заманауи автоматтандырылған сертификаттау органдарын пайдалана алмайтындығы, деп жазады Скотт Хельме. Олар смарт теледидарлар үшін жарамсыз және түбірлердің саны ескі құрылғыларда сертификатты қолдауға кепілдік беру үшін тым аз. Әйтпесе, теледидар заманауи ағындық қызметтерді іске қоса алмайды.
AddTrust-қа қатысты соңғы оқиға тіпті ірі IT-компаниялар да түбірлік сертификаттың мерзімі бітетініне дайын емес екенін көрсетті.
Мәселенің бір ғана шешімі бар - жаңарту. Смарт құрылғыларды әзірлеушілер бағдарламалық қамтамасыз етуді және түбірлік сертификаттарды жаңарту механизмін алдын ала қамтамасыз етуі керек. Екінші жағынан, өндірушілерге кепілдік мерзімі аяқталғаннан кейін құрылғыларының жұмысын қамтамасыз ету тиімді емес.
Ақпарат көзі: www.habr.com