30 қыркүйекте Мәскеу уақытымен 17:01-де IdenTrust түбірлік сертификаты (DST Root CA X3), ол қауымдастық бақылайтын Let's Encrypt сертификаттау органының (ISRG Root X1) түбірлік сертификатына кросс-қол қою үшін пайдаланылды. сертификаттарды барлығына тегін береді, мерзімі бітеді. Айқас қол қою Let's Encrypt сертификаттарына құрылғылардың, операциялық жүйелердің және браузерлердің кең ауқымында сенімді болуын қамтамасыз етті, ал Let's Encrypt компаниясының жеке түбірлік куәлігі түбірлік куәліктер дүкендеріне біріктірілген.
Бастапқыда DST Root CA X3 ескіргеннен кейін, Let's Encrypt жобасы тек түбірлік сертификатын пайдаланып қолтаңбаларды жасауға ауысады деп жоспарланған болатын, бірақ мұндай қадам көптеген ескі жүйелермен үйлесімділікті жоғалтуға әкеп соқтырады. олардың репозитарийлеріне Let's Encrypt түбірлік сертификатын қосыңыз. Атап айтқанда, қолданыстағы Android құрылғыларының шамамен 30%-ында қолдау тек 7.1.1 жылдың соңында шыққан Android 2016 платформасынан бастап пайда болған Let's Encrypt түбірлік сертификатында деректер жоқ.
Let's Encrypt жаңа кросс-қол қою келісімін жасауды жоспарлаған жоқ, өйткені бұл келісім тараптарына қосымша жауапкершілік жүктейді, оларды тәуелсіздіктен айырады және басқа куәландырушы орталықтың барлық процедуралары мен ережелерін сақтау тұрғысынан олардың қолдарын байлайды. Бірақ көптеген Android құрылғыларындағы ықтимал проблемаларға байланысты жоспар қайта қаралды. IdenTrust сертификаттау орталығымен жаңа келісім жасалды, оның аясында балама кросс-қол қойылған Let's Encrypt аралық сертификаты жасалды. Кросс-қолтаңба үш жыл бойы жарамды болады және 2.3.6 нұсқасынан бастап Android құрылғыларына қолдау көрсетеді.
Дегенмен, жаңа аралық сертификат көптеген басқа ескі жүйелерді қамтымайды. Мысалы, DST Root CA X3 сертификаты 30 қыркүйекте ескірген кезде, Let's Encrypt сертификаттары қолдау көрсетілмейтін микробағдарламалар мен операциялық жүйелерде қабылданбайды, олар Let's Encrypt сертификаттарына сенімді болу үшін түбірлік куәліктер қоймасына ISRG Root X1 сертификатын қолмен қосуды қажет етеді. . Мәселелер келесіде көрінеді:
- OpenSSL 1.0.2 филиалына дейін (1.0.2 филиалына техникалық қызмет көрсету 2019 жылдың желтоқсанында тоқтатылды);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian <8.
OpenSSL 1.0.2 жағдайында мәселе қол қою үшін пайдаланылған түбірлік сертификаттардың біреуінің жарамдылық мерзімі бітсе, басқа жарамды сенім тізбегі қалса да, айқас қол қойылған куәліктердің дұрыс өңделуіне жол бермейтін қатеден туындайды. Мәселе алғаш рет өткен жылы Sectigo (Comodo) сертификаттау органының сертификаттарына қол қою үшін пайдаланылатын AddTrust сертификаты ескіргеннен кейін пайда болды. Мәселенің түйіні мынада: OpenSSL сертификатты сызықтық тізбек ретінде талдады, ал RFC 4158 сәйкес сертификат бірнеше сенімді анкерлері бар бағытталған бөлінген дөңгелек графикті көрсете алады, оларды ескеру қажет.
OpenSSL 1.0.2 негізіндегі ескі дистрибутивтерді пайдаланушыларға мәселені шешу үшін үш уақытша шешім ұсынылады:
- IdenTrust DST Root CA X3 түбірлік куәлігін қолмен жойып, оқшауланған (айқаспалы қол қойылмаған) ISRG Root X1 түбірлік куәлігін орнатыңыз.
- openssl verify және s_client пәрмендерін іске қосқан кезде “--trusted_first” опциясын көрсетуге болады.
- Серверде кросс-қолтаңбасы жоқ SRG Root X1 жеке түбірлік куәлігімен куәландырылған сертификатты пайдаланыңыз. Бұл әдіс ескі Android клиенттерімен үйлесімділіктің жоғалуына әкеледі.
Сонымен қатар, «Шифрлаймыз» жобасы екі миллиард жасалған сертификаттардың маңызды кезеңін еңсергенін атап өтуге болады. Бір миллиард межеге өткен жылдың ақпан айында қол жеткізілді. Күніне 2.2-2.4 миллион жаңа сертификаттар жасалады. Белсенді сертификаттардың саны 192 миллион (сертификат үш ай бойы жарамды) және шамамен 260 миллион доменді қамтиды (195 миллион домен бір жыл бұрын, 150 миллион екі жыл бұрын, 60 миллион үш жыл бұрын қамтылған). Firefox Telemetry сервисінің статистикасы бойынша HTTPS арқылы бет сұрауларының жаһандық үлесі 82% (бір жыл бұрын – 81%, екі жыл бұрын – 77%, үш жыл бұрын – 69%, төрт жыл бұрын – 58%) құрайды.
Ақпарат көзі: opennet.ru