ಸೆಪ್ಟೆಂಬರ್ 30 ರಂದು 17:01 ಮಾಸ್ಕೋ ಸಮಯಕ್ಕೆ, IdenTrust ರೂಟ್ ಪ್ರಮಾಣಪತ್ರ (DST ರೂಟ್ CA X3), ಇದು ಸಮುದಾಯದಿಂದ ನಿಯಂತ್ರಿಸಲ್ಪಡುವ ಲೆಟ್ಸ್ ಎನ್ಕ್ರಿಪ್ಟ್ ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದ (ISRG ರೂಟ್ X1) ಮೂಲ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಕ್ರಾಸ್-ಸೈನ್ ಮಾಡಲು ಬಳಸಲಾಗಿದೆ ಮತ್ತು ಎಲ್ಲರಿಗೂ ಉಚಿತವಾಗಿ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ, ಅವಧಿ ಮುಗಿಯುತ್ತದೆ. ಲೆಟ್ಸ್ ಎನ್ಕ್ರಿಪ್ಟ್ ಪ್ರಮಾಣಪತ್ರಗಳು ವ್ಯಾಪಕ ಶ್ರೇಣಿಯ ಸಾಧನಗಳು, ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಂಗಳು ಮತ್ತು ಬ್ರೌಸರ್ಗಳಲ್ಲಿ ವಿಶ್ವಾಸಾರ್ಹವಾಗಿವೆ ಎಂದು ಕ್ರಾಸ್-ಸೈನ್ ಮಾಡುವಿಕೆಯು ಖಚಿತಪಡಿಸುತ್ತದೆ ಆದರೆ ಲೆಟ್ಸ್ ಎನ್ಕ್ರಿಪ್ಟ್ನ ಸ್ವಂತ ರೂಟ್ ಪ್ರಮಾಣಪತ್ರವನ್ನು ರೂಟ್ ಪ್ರಮಾಣಪತ್ರ ಸ್ಟೋರ್ಗಳಲ್ಲಿ ಸಂಯೋಜಿಸಲಾಗಿದೆ.
DST ರೂಟ್ CA X3 ನ ಅಸಮ್ಮತಿಯ ನಂತರ, ಲೆಟ್ಸ್ ಎನ್ಕ್ರಿಪ್ಟ್ ಯೋಜನೆಯು ಅದರ ಮೂಲ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಬಳಸಿಕೊಂಡು ಸಹಿಗಳನ್ನು ಉತ್ಪಾದಿಸಲು ಬದಲಾಯಿಸುತ್ತದೆ ಎಂದು ಮೂಲತಃ ಯೋಜಿಸಲಾಗಿತ್ತು, ಆದರೆ ಅಂತಹ ಕ್ರಮವು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಹಳೆಯ ಸಿಸ್ಟಮ್ಗಳೊಂದಿಗೆ ಹೊಂದಾಣಿಕೆಯ ನಷ್ಟಕ್ಕೆ ಕಾರಣವಾಗುತ್ತದೆ. ಲೆಟ್ಸ್ ಎನ್ಕ್ರಿಪ್ಟ್ ರೂಟ್ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಅವರ ರೆಪೊಸಿಟರಿಗಳಿಗೆ ಸೇರಿಸಿ. ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, ಬಳಕೆಯಲ್ಲಿರುವ ಸರಿಸುಮಾರು 30% Android ಸಾಧನಗಳು ಲೆಟ್ಸ್ ಎನ್ಕ್ರಿಪ್ಟ್ ರೂಟ್ ಪ್ರಮಾಣಪತ್ರದಲ್ಲಿ ಡೇಟಾವನ್ನು ಹೊಂದಿಲ್ಲ, ಇದಕ್ಕೆ ಬೆಂಬಲವು 7.1.1 ರ ಕೊನೆಯಲ್ಲಿ ಬಿಡುಗಡೆಯಾದ Android 2016 ಪ್ಲಾಟ್ಫಾರ್ಮ್ನೊಂದಿಗೆ ಪ್ರಾರಂಭವಾಗಿ ಕಾಣಿಸಿಕೊಂಡಿತು.
ಲೆಟ್ಸ್ ಎನ್ಕ್ರಿಪ್ಟ್ ಹೊಸ ಅಡ್ಡ-ಸಹಿ ಒಪ್ಪಂದಕ್ಕೆ ಪ್ರವೇಶಿಸಲು ಯೋಜಿಸಲಿಲ್ಲ, ಏಕೆಂದರೆ ಇದು ಒಪ್ಪಂದದ ಪಕ್ಷಗಳ ಮೇಲೆ ಹೆಚ್ಚುವರಿ ಜವಾಬ್ದಾರಿಯನ್ನು ಹೇರುತ್ತದೆ, ಸ್ವಾತಂತ್ರ್ಯವನ್ನು ಕಸಿದುಕೊಳ್ಳುತ್ತದೆ ಮತ್ತು ಮತ್ತೊಂದು ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದ ಎಲ್ಲಾ ಕಾರ್ಯವಿಧಾನಗಳು ಮತ್ತು ನಿಯಮಗಳ ಅನುಸರಣೆಯ ವಿಷಯದಲ್ಲಿ ಅವರ ಕೈಗಳನ್ನು ಕಟ್ಟುತ್ತದೆ. ಆದರೆ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ Android ಸಾಧನಗಳಲ್ಲಿ ಸಂಭವನೀಯ ಸಮಸ್ಯೆಗಳ ಕಾರಣ, ಯೋಜನೆಯನ್ನು ಪರಿಷ್ಕರಿಸಲಾಯಿತು. IdenTrust ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದೊಂದಿಗೆ ಹೊಸ ಒಪ್ಪಂದವನ್ನು ತೀರ್ಮಾನಿಸಲಾಯಿತು, ಅದರ ಚೌಕಟ್ಟಿನೊಳಗೆ ಪರ್ಯಾಯ ಅಡ್ಡ-ಸಹಿ ಲೆಟ್ಸ್ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಧ್ಯಂತರ ಪ್ರಮಾಣಪತ್ರವನ್ನು ರಚಿಸಲಾಗಿದೆ. ಅಡ್ಡ-ಸಹಿ ಮೂರು ವರ್ಷಗಳವರೆಗೆ ಮಾನ್ಯವಾಗಿರುತ್ತದೆ ಮತ್ತು ಆವೃತ್ತಿ 2.3.6 ರಿಂದ ಪ್ರಾರಂಭವಾಗುವ Android ಸಾಧನಗಳಿಗೆ ಬೆಂಬಲವನ್ನು ನಿರ್ವಹಿಸುತ್ತದೆ.
ಆದಾಗ್ಯೂ, ಹೊಸ ಮಧ್ಯಂತರ ಪ್ರಮಾಣಪತ್ರವು ಅನೇಕ ಇತರ ಪರಂಪರೆ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಒಳಗೊಂಡಿಲ್ಲ. ಉದಾಹರಣೆಗೆ, ಸೆಪ್ಟೆಂಬರ್ 3 ರಂದು DST ರೂಟ್ CA X30 ಪ್ರಮಾಣಪತ್ರವು ಅಸಮ್ಮತಿಸಿದಾಗ, ಲೆಟ್ಸ್ ಎನ್ಕ್ರಿಪ್ಟ್ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡೋಣ ಪ್ರಮಾಣಪತ್ರಗಳಲ್ಲಿ ನಂಬಿಕೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ರೂಟ್ ಪ್ರಮಾಣಪತ್ರ ಸ್ಟೋರ್ಗೆ ಹಸ್ತಚಾಲಿತವಾಗಿ ISRG ರೂಟ್ X1 ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸೇರಿಸುವ ಅಗತ್ಯವಿರುವ ಬೆಂಬಲವಿಲ್ಲದ ಫರ್ಮ್ವೇರ್ ಮತ್ತು ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ ಇನ್ನು ಮುಂದೆ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಸ್ವೀಕರಿಸಲಾಗುವುದಿಲ್ಲ. . ಸಮಸ್ಯೆಗಳು ಇದರಲ್ಲಿ ಪ್ರಕಟವಾಗುತ್ತವೆ:
- ಓಪನ್ಎಸ್ಎಸ್ಎಲ್ ಶಾಖೆ 1.0.2 ಒಳಗೊಂಡಂತೆ (ಶಾಖೆ 1.0.2 ರ ನಿರ್ವಹಣೆಯನ್ನು ಡಿಸೆಂಬರ್ 2019 ರಲ್ಲಿ ಸ್ಥಗಿತಗೊಳಿಸಲಾಗಿದೆ);
- NSS <3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- ವಿಂಡೋಸ್ < XP SP3;
- macOS <10.12.1;
- ಐಒಎಸ್ <10 (ಐಫೋನ್ <5);
- ಆಂಡ್ರಾಯ್ಡ್ <2.3.6;
- ಮೊಜಿಲ್ಲಾ ಫೈರ್ಫಾಕ್ಸ್ <50;
- ಉಬುಂಟು <16.04;
- ಡೆಬಿಯನ್ <8.
OpenSSL 1.0.2 ರ ಸಂದರ್ಭದಲ್ಲಿ, ಸಹಿ ಮಾಡಲು ಬಳಸಲಾದ ಮೂಲ ಪ್ರಮಾಣಪತ್ರಗಳಲ್ಲಿ ಒಂದನ್ನು ಸರಿಯಾಗಿ ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವುದನ್ನು ತಡೆಯುವ ದೋಷದಿಂದಾಗಿ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ, ಸಹಿ ಮಾಡುವುದಕ್ಕಾಗಿ ಬಳಸಲಾದ ಮೂಲ ಪ್ರಮಾಣಪತ್ರಗಳಲ್ಲಿ ಒಂದಾದ ವಿಶ್ವಾಸಾರ್ಹ ಸರಪಳಿಗಳು ಉಳಿದಿದ್ದರೂ ಸಹ. ಸೆಕ್ಟಿಗೊ (ಕೊಮೊಡೊ) ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದಿಂದ ಕ್ರಾಸ್-ಸೈನ್ ಸರ್ಟಿಫಿಕೇಟ್ ಮಾಡಲು ಬಳಸಿದ ಆಡ್ಟ್ರಸ್ಟ್ ಪ್ರಮಾಣಪತ್ರವು ಬಳಕೆಯಲ್ಲಿಲ್ಲದ ನಂತರ ಕಳೆದ ವರ್ಷ ಮೊದಲ ಸಮಸ್ಯೆ ಕಾಣಿಸಿಕೊಂಡಿತು. ಸಮಸ್ಯೆಯ ತಿರುಳು ಏನೆಂದರೆ, OpenSSL ಪ್ರಮಾಣಪತ್ರವನ್ನು ರೇಖೀಯ ಸರಪಳಿಯಾಗಿ ಪಾರ್ಸ್ ಮಾಡಿದೆ, ಆದರೆ RFC 4158 ರ ಪ್ರಕಾರ, ಪ್ರಮಾಣಪತ್ರವು ನಿರ್ದೇಶಿತ ವಿತರಿಸಿದ ವೃತ್ತಾಕಾರದ ಗ್ರಾಫ್ ಅನ್ನು ಬಹು ಟ್ರಸ್ಟ್ ಆಂಕರ್ಗಳೊಂದಿಗೆ ಪ್ರತಿನಿಧಿಸುತ್ತದೆ, ಅದನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳಬೇಕಾಗುತ್ತದೆ.
OpenSSL 1.0.2 ಆಧಾರಿತ ಹಳೆಯ ವಿತರಣೆಗಳ ಬಳಕೆದಾರರಿಗೆ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲು ಮೂರು ಪರಿಹಾರಗಳನ್ನು ನೀಡಲಾಗುತ್ತದೆ:
- IdenTrust DST ರೂಟ್ CA X3 ಮೂಲ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ತೆಗೆದುಹಾಕಲಾಗಿದೆ ಮತ್ತು ಅದ್ವಿತೀಯ (ಅಡ್ಡ-ಸಹಿ ಮಾಡಿಲ್ಲ) ISRG ರೂಟ್ X1 ಮೂಲ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆ.
- openssl verify ಮತ್ತು s_client ಆಜ್ಞೆಗಳನ್ನು ಚಲಾಯಿಸುವಾಗ, ನೀವು “--trusted_first” ಆಯ್ಕೆಯನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬಹುದು.
- ಕ್ರಾಸ್-ಸಿಗ್ನೇಚರ್ ಹೊಂದಿರದ ಪ್ರತ್ಯೇಕ ರೂಟ್ ಪ್ರಮಾಣಪತ್ರ SRG ರೂಟ್ X1 ಮೂಲಕ ಪ್ರಮಾಣೀಕರಿಸಿದ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸರ್ವರ್ನಲ್ಲಿ ಬಳಸಿ. ಈ ವಿಧಾನವು ಹಳೆಯ Android ಕ್ಲೈಂಟ್ಗಳೊಂದಿಗೆ ಹೊಂದಾಣಿಕೆಯ ನಷ್ಟಕ್ಕೆ ಕಾರಣವಾಗುತ್ತದೆ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, ಲೆಟ್ಸ್ ಎನ್ಕ್ರಿಪ್ಟ್ ಯೋಜನೆಯು ಎರಡು ಶತಕೋಟಿ ರಚಿತವಾದ ಪ್ರಮಾಣಪತ್ರಗಳ ಮೈಲಿಗಲ್ಲನ್ನು ಮೀರಿಸಿದೆ ಎಂಬುದನ್ನು ನಾವು ಗಮನಿಸಬಹುದು. ಕಳೆದ ವರ್ಷ ಫೆಬ್ರವರಿಯಲ್ಲಿ ಒಂದು ಬಿಲಿಯನ್ ಮೈಲಿಗಲ್ಲನ್ನು ತಲುಪಿತ್ತು. ಪ್ರತಿದಿನ 2.2-2.4 ಮಿಲಿಯನ್ ಹೊಸ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಉತ್ಪಾದಿಸಲಾಗುತ್ತದೆ. ಸಕ್ರಿಯ ಪ್ರಮಾಣಪತ್ರಗಳ ಸಂಖ್ಯೆಯು 192 ಮಿಲಿಯನ್ ಆಗಿದೆ (ಪ್ರಮಾಣಪತ್ರವು ಮೂರು ತಿಂಗಳವರೆಗೆ ಮಾನ್ಯವಾಗಿರುತ್ತದೆ) ಮತ್ತು ಸುಮಾರು 260 ಮಿಲಿಯನ್ ಡೊಮೇನ್ಗಳನ್ನು ಒಳಗೊಂಡಿದೆ (195 ಮಿಲಿಯನ್ ಡೊಮೇನ್ಗಳು ಒಂದು ವರ್ಷದ ಹಿಂದೆ, 150 ಮಿಲಿಯನ್ ಎರಡು ವರ್ಷಗಳ ಹಿಂದೆ, 60 ಮಿಲಿಯನ್ ಮೂರು ವರ್ಷಗಳ ಹಿಂದೆ). ಫೈರ್ಫಾಕ್ಸ್ ಟೆಲಿಮೆಟ್ರಿ ಸೇವೆಯ ಅಂಕಿಅಂಶಗಳ ಪ್ರಕಾರ, HTTPS ಮೂಲಕ ಪುಟ ವಿನಂತಿಗಳ ಜಾಗತಿಕ ಪಾಲು 82% (ಒಂದು ವರ್ಷದ ಹಿಂದೆ - 81%, ಎರಡು ವರ್ಷಗಳ ಹಿಂದೆ - 77%, ಮೂರು ವರ್ಷಗಳ ಹಿಂದೆ - 69%, ನಾಲ್ಕು ವರ್ಷಗಳ ಹಿಂದೆ - 58%).
ಮೂಲ: opennet.ru