Di 30ê Îlonê de demjimêr 17:01 bi dema Moskowê, sertîfîkaya root IdenTrust (DST Root CA X3), ku ji bo îmzakirina sertîfîkaya root ya desthilatdariya pejirandinê Let's Encrypt (ISRG Root X1) hate bikar anîn, ku ji hêla civakê ve tê kontrol kirin û sertîfîkayan belaş dide her kesî, diqede. Îmzekirina xaçê piştrast kir ku sertîfîkayên Let's Encrypt di nav cûrbecûr amûr, pergalên xebitandinê û gerokan de pêbawer bûn dema ku sertîfîkaya root ya Let's Encrypt di firotgehên sertîfîkayên root de hate yek kirin.
Di destpêkê de hate plan kirin ku piştî hilweşandina DST Root CA X3, projeya Let's Encrypt dê veguhezîne hilberîna îmzeyan tenê bi karanîna sertîfîkaya xweya root, lê tevgerek wusa dê bibe sedema windakirina lihevhatina hejmareke mezin ji pergalên kevn ên ku ne sertîfîkaya root ya Let's Encrypt li depoyên wan zêde bikin. Bi taybetî, nêzîkê 30% ji cîhazên Android-ê yên ku têne bikar anîn daneya li ser sertîfîkaya root ya Let's Encrypt tune, ku piştgirî tenê bi platforma Android 7.1.1-ê, ku di dawiya 2016-an de hatî berdan dest pê dike, xuya dike.
Let’s Encrypt plan nekiriye ku bikeve peymanek nû ya hev-îmzayê, ji ber ku ev berpirsiyariyek zêde li ser aliyên peymanê ferz dike, wan ji serxwebûnê bêpar dike û destên wan di warê pabendbûna bi hemî rêgez û rêgezên rayedarek din a pejirandinê de girêdide. Lê ji ber pirsgirêkên potansiyel ên li ser hejmareke mezin a cîhazên Android-ê, plan hate nûve kirin. Peymanek nû bi desthilatdariya pejirandî ya IdenTrust re hate girêdan, di çarçoveya wê de sertîfîkayek navber a Let's Encrypt-ê ya alternatîf hate afirandin. Îmzeya xaçê dê sê salan derbasdar be û dê piştgirîya cîhazên Android-ê bi guhertoya 2.3.6-ê dest pê bike bidomîne.
Lêbelê, sertîfîkaya navîn a nû gelek pergalên mîras ên din nagire. Mînakî, digel betalkirina sertîfîkaya DST Root CA X3 di 30ê îlonê de, sertîfîkayên Let's Encrypt êdî dê li ser firmware û pergalên xebitandinê yên ku ne piştgirî neyên pejirandin ku hewce dike ku bi destan sertîfîkaya ISRG Root X1 li dikana sertîfîkaya root zêde bikin da ku pêbaweriya bi Let's re misoger bikin. Sertîfîkayan şîfre bikin. Pirsgirêk dê di van deran de diyar bibin:
- OpenSSL heya şaxê 1.0.2 tevde (parastina şaxê 1.0.2 di Kanûna 2019-an de hate sekinandin);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
Di doza OpenSSL 1.0.2 de, pirsgirêk ji ber xeletiyekê çêdibe ku rê nade sertîfîkayên xaç-îmzakirî bi rêkûpêk bêne pêvajo kirin ger yek ji sertîfîkayên root ên ku ji bo îmzekirinê têne bikar anîn biqede, her çend zincîrên pêbawer ên din ên derbasdar bimînin. Pirsgirêk yekem car sala borî derket holê piştî ku sertîfîkaya AddTrust-ê ku ji bo sertîfîkayên sertîfîkayên ji saziya pejirandinê ya Sectigo (Comodo) veqetand tê bikar anîn kevin bû. Kêşeya pirsgirêkê ev e ku OpenSSL sertîfîkayê wekî zincîreyek rêzik pars kir, di heman demê de li gorî RFC 4158, sertîfîkayek dikare grafek dorhêlê ya rêvekirî ya bi lengerên pêbawer ên pirjimar ên ku divê bêne hesibandin temsîl bike.
Bikarhênerên belavokên kevn ên ku li ser bingeha OpenSSL 1.0.2 têne sê rêgez têne pêşkêş kirin ku pirsgirêk çareser bikin:
- Bi destan sertîfîkaya root ya IdenTrust DST Root CA X3 rakirin û sertîfîkaya root ya ISRG Root X1-a-tenê (ne xaç-îmzekirî) saz kir.
- Dema ku emrên openssl verify û s_client dimeşînin, hûn dikarin vebijarka "--trusted_first" diyar bikin.
- Li ser serverê sertîfîkayek ku ji hêla sertîfîkayek root veqetandî SRG Root X1 ve hatî pejirandî bikar bînin, ku xwedan îmzeyek xaça nîne. Ev rêbaz dê bibe sedema windakirina lihevhatina bi xerîdarên kevn ên Android re.
Wekî din, em dikarin bala xwe bidin ku projeya Let's Encrypt sertîfîkayên du mîlyar sertîfîkayên çêkirî derbas kiriye. Di sibata sala borî de mîlyarek mîladê hat bidestxistin. Rojane 2.2-2.4 mîlyon sertîfîkayên nû têne çêkirin. Hejmara sertîfîkayên çalak 192 mîlyon e (sertîfîkayek ji bo sê mehan derbasdar e) û nêzî 260 mîlyon domainan vedihewîne (195 mîlyon domain salek berê, 150 mîlyon du sal berê, 60 mîlyon sê sal berê hatine girtin). Li gorî statîstîkên karûbarê Firefox Telemetry, parvekirina gerdûnî ya daxwazên rûpelê bi riya HTTPS% 82% e (salek berê - 81%, du sal berê - 77%, sê sal berê - 69%, çar sal berê - 58%).
Source: opennet.ru