Ji bo gerokek ku malperek rast bike, ew xwe bi zincîrek sertîfîkayek derbasdar nîşan dide. Zincîreyek tîpîk li jor tê xuyang kirin, û dibe ku ji yek sertîfîkaya navîn zêdetir be. Di zincîreyek derbasdar de herî kêm hejmara sertîfîkayan sê ye.
Sertîfîkaya root dilê desthilatdariya sertîfîkayê ye. Ew bi rastî di nav OS an geroka we de hatî çêkirin, ew bi fîzîkî li ser cîhaza we heye. Ew ji hêla serverê ve nayê guhertin. Nûvekirinek bi zorê ya OS an firmware li ser cîhazê hewce ye.
Pisporê Ewlekariyê Scott Helme , ku pirsgirêkên sereke dê bi desthilatdariya pejirandinê Let's Encrypt re derkevin, ji ber ku îro ew CA-ya herî populer a li ser Înternetê ye, û sertîfîkaya wê ya root dê di demek nêzîk de "bizivirîne". Guhertina root-a Let's Encrypt .
Sertîfîkayên dawî û navîn ên desthilatdariya pejirandinê (CA) ji serverê ji xerîdar re têne radest kirin, û sertîfîkaya root ji xerîdar e. jixwe heye, ji ber vê yekê bi vê berhevoka sertîfîkayan meriv dikare zincîrek ava bike û malperek rast bike.
Pirsgirêk ev e ku her sertîfîkayek dîrokek qedandinê heye, piştî ku ew pêdivî ye ku were guheztin. Mînakî, ji 1-ê Îlona 2020-an pê ve, ew plan dikin ku di geroka Safari de li ser heyama derbasdarbûna sertîfîkayên servera TLS-ê sînordar bikin. .
Ev tê vê wateyê ku em hemî neçar in ku herî kêm her 12 mehan carekê sertîfîkayên servera xwe biguhezînin. Ev sînorkirin tenê ji sertîfîkayên serverê re derbas dibe; ew ne li ser sertîfîkayên CA-ya root derbas dibe.
Sertîfîkayên CA-ê ji hêla rêzek rêzikên cûda ve têne rêve kirin û ji ber vê yekê sînorên derbasdariyê yên cihêreng hene. Pir gelemperî ye ku sertîfîkayên navîn ên bi serdemek derbasdar a 5 salan û sertîfîkayên root ên bi temenê karûbarê 25 salan jî bibînin!
Bi gelemperî di sertîfîkayên navîn de pirsgirêk tune ne, ji ber ku ew ji hêla serverê ve ji xerîdar re têne peyda kirin, ya ku bixwe sertîfîkaya xwe pir caran diguhezîne, ji ber vê yekê ew di pêvajoyê de bi tenê ya navîn diguhezîne. Berevajî sertîfîkaya CA ya root, guheztina wê digel sertîfîkaya serverê pir hêsan e.
Wekî ku me berê jî got, CA-ya root rasterast di nav cîhaza xerîdar bixwe, di OS, gerok an nermalava din de tê çêkirin. Guhertina root CA li derveyî kontrola malperê ye. Ji bo vê yekê nûvekirinek li ser xerîdar hewce dike, ew nûvekirinek OS an nermalavê be.
Hin CA-yên root ji demek pir dirêj ve hene, em qala 20-25 salan dikin. Zû zû hin CA-yên root ên herî kevn dê nêzî dawiya jiyana xwe ya xwezayî bibin, dema wan hema hema qediya ye. Ji bo piraniya me ev ê qet nebe pirsgirêk ji ber ku CA-yan sertîfîkayên nû yên root afirandine û ew bi gelek salan di nûvekirinên OS û gerokê de li çaraliyê cîhanê hatine belav kirin. Lê heke kesek di demek pir dirêj de OS an geroka xwe nûve nekiribe, ew pirsgirêkek e.
Ev rewş di 30-ê Gulana 2020-an de di demjimêr 10:48:38 GMT de qewimî. Ev dema rast e ji desthilatdariya pejirandinê ya Comodo (Sectigo).
Ew ji bo îmzekirina xaçê hate bikar anîn da ku lihevhatina bi cîhazên mîras ên ku di dikana wan de sertîfîkaya root ya nû ya USERTrust tune ne.
Mixabin, pirsgirêk ne tenê di gerokên mîras de, di heman demê de di xerîdarên ne-gerok ên ku li ser bingeha OpenSSL 1.0.x, LibreSSL û . Mînakî, di qutiyên set-top de , xizmetê , li Fortinet, sepanên Chargify, li ser platforma .NET Core 2.0 ji bo Linux û .
Tê texmîn kirin ku pirsgirêk dê tenê bandorê li pergalên mîras bike (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, hwd.), ji ber ku gerokên nûjen dikarin sertîfîkaya root ya duyemîn USERTRust bikar bînin. Lê bi rastî, têkçûn di bi sedan karûbarên malperê de ku pirtûkxaneyên belaş OpenSSL 1.0.x û GnuTLS bikar tînin de dest pê kir. Têkiliyek ewledar nema dikare bi peyamek xeletiyek ku nîşan dide ku sertîfîka kevin bûye were saz kirin.
Paşê - Werin em şîfre bikin
Nimûneyek din a baş a guhertina root CA-ya pêşerojê desthilatdariya sertîfîkaya Let's Encrypt e. Zêde wan plan kir ku ji zincîra Identrust veguherînin zincîra xwe ya Root ISRG, lê ev .
Let's Encrypt di daxuyaniyeke fermî de got, "Ji ber fikarên li ser nebûna ketina root ISRG li ser cîhazên Android, me biryar da ku dîroka veguheztina root ya xwecihî ji 8ê Tîrmeha 2019-an veguhezînin 8-ê Tîrmeha 2020-an."
Diviyabû ku tarîx ji ber pirsgirêkek bi navê "berbelavkirina root" were paşxistin, an jî rasttir, nebûna belavbûna root, dema ku root CA ne pir berfireh li hemî xerîdaran belav dibe.
Werin em Encrypt naha sertîfîkayek navbeynkar a ku bi IdenTrust DST Root CA X3 ve girêdayî ye bikar tîne. Vê sertîfîkaya root di îlona 2000-an de paşde hate derxistin û di 30-ê îlona 2021-an de qediya. Heya wê hingê, Let's Encrypt plan dike ku veguhezîne ISRG Root X1-a xwe-îmzakirî.
ISRG root di 4ê Hezîrana 2015an de hat berdan. Piştî vê yekê, pêvajoya pejirandina wê wekî desthilatdariya pejirandinê dest pê kir, ku bi dawî bû . Ji vê gavê pê ve, CA-ya root ji hemî xerîdaran re bi pergala xebitandinê an nûvekirina nermalavê ve peyda bû. Tiştê ku divê hûn bikin ev bû ku nûvekirinê saz bikin.
Lê pirsgirêk ev e.
Ger têlefona weya desta, TV an amûrek din du sal in nehatiye nûve kirin, ew ê çawa di derheqê sertîfîkaya root ya nû ya ISRG Root X1 de bizanibe? Û heke hûn wê li ser pergalê saz nekin, wê hingê cîhaza we dê hemî sertîfîkayên servera Let's Encrypt betal bike gava ku Let's Encrypt veguhezîne rootek nû. Û di ekosîstema Android-ê de gelek amûrên kevnar ên ku ji demek dirêj ve nehatine nûve kirin hene.
ekosîstema Android
Ji ber vê yekê Let's Encrypt veguheztina berbi koka xweya ISRG dereng xist û hîn jî navbeynkarek ku ber bi koka IdenTrust ve diçe bikar tîne. Lê divê di her rewşê de derbasbûn bê kirin. Û tarîxa guherîna root tê destnîşankirin .
Ji bo kontrol bikin ku ISRG X1 root li ser cîhaza we (TV, qutiya set-top an xerîdarek din) hatî saz kirin, malpera testê vekin. . Heke hişyariya ewlehiyê neyê xuya kirin, wê hingê her tişt bi gelemperî baş e.
Let's Encrypt ne tenê ye ku bi dijwariya koçkirina berbi rootek nû re rû bi rû ye. Krîptografiya li ser Înternetê 20 sal berê dest pê kir ku were bikar anîn, ji ber vê yekê naha ew dem e ku gelek sertîfîkayên root li ber qedandinê ne.
Xwediyên TV-yên zîrek ên ku bi salan nermalava Smart TV-yê nûve nekiriye, dibe ku bi vê pirsgirêkê re rû bi rû bimînin. Mînakî, roota nû ya GlobalSign di sala 2012-an de hate berdan, û piştî ku hin TV-yên Smart kevn nikaribin zincîrek jê re ava bikin, ji ber ku ew bi hêsanî xwedan vê root CA ne. Bi taybetî, van xerîdar nekarîn bi malpera bbc.co.uk re têkiliyek ewledar saz bikin. Ji bo çareserkirina pirsgirêkê, rêveberên BBC neçar bûn ku serî li hîleyekê bidin: ew bi sertîfîkayên navîn ên din, bi karanîna kokên kevn и , yên ku hîna xirap nebûne.
www.bbc.co.uk (Pel) GlobalSign ECC OV SSL CA 2018 (Navenda) GlobalSign Root CA - R5 (Navenda) GlobalSign Root CA - R3 (Navenda)
Ev çareseriyek demkî ye. Pirsgirêk dê neçe heta ku hûn nermalava xerîdar nûve bikin. Televizyonek biaqil bi bingehîn komputerek bi fonksiyonek sînorkirî ye ku Linux-ê dixebitîne. Û bêyî nûvekirin, sertîfîkayên wê yên root bê guman dê xera bibin.
Ev ji bo hemî amûran derbas dibe, ne tenê TV. Ger we amûrek we heye ku bi Înternetê ve girêdayî ye û wekî amûrek "aqilmend" hate reklam kirin, wê hingê pirsgirêka sertîfîkayên xerabûyî hema bêje wê têkildar e. Ger cîhaz neyê nûve kirin, dê dikana root CA bi demê re kevn bibe û di dawiyê de pirsgirêk derkeve holê. Pirsgirêk çiqas zû çêdibe bi wê ve girêdayî ye ku kengê dikana root herî dawî hate nûve kirin. Dibe ku ev çend sal berî roja serbestberdana rastîn a cîhazê be.
Bi awayê, ev pirsgirêk e ku çima hin platformên medyayê yên mezin nikanin rayedarên sertîfîkayên xweser ên nûjen ên mîna Let's Encrypt bikar bînin, Scott Helme dinivîse. Ew ji bo TV-yên jîr ne guncan in, û hejmara kok pir hindik e ku piştgirîya sertîfîkayê li ser cîhazên mîras garantî bike. Wekî din, TV bi tenê dê nikaribe karûbarên streaming nûjen bide destpêkirin.
Bûyera herî dawî ya bi AddTrust re destnîşan kir ku tewra pargîdaniyên mezin ên IT-ê jî ji bo rastiya ku sertîfîkaya root qediya ne amade ne.
Ji pirsgirêkê re tenê yek çareserî heye - nûvekirin. Pêşdebirên cîhazên jîr divê mekanîzmayek ji bo nûvekirina nermalava û sertîfîkayên root di pêş de peyda bikin. Ji hêla din ve, ji hilberîneran re ne bikêr e ku piştî ku heyama garantiyê qediya, xebata cîhazên xwe piştrast bikin.
Source: www.habr.com