Браузер веб-сайттын аныктыгын текшерүү үчүн, ал жарактуу тастыктама чынжырын көрсөтөт. Кадимки чынжыр жогоруда көрсөтүлгөн жана бирден ашык аралык сертификат болушу мүмкүн. Жарактуу чынжырдагы сертификаттардын эң аз саны үчтөн турат.
Түпкү сертификат сертификат берүүчү органдын жүрөгү болуп саналат. Ал түзмө-түз сиздин OS же браузериңизге орнотулган, ал түзмөгүңүздө физикалык түрдө бар. Аны сервер тараптан өзгөртүү мүмкүн эмес. Түзмөктөгү OS же микропрограмманы мажбурлап жаңыртуу талап кылынат.
Коопсуздук боюнча адис Скотт Хелме , негизги көйгөйлөр Let's Encrypt сертификаттоо органында пайда болот, анткени бүгүнкү күндө ал Интернеттеги эң популярдуу CA болуп саналат жана анын түпкү сертификаты жакында начарлап кетет. Let's Encrypt тамырын өзгөртүү .
Тастыктоочу органдын (CA) акыркы жана аралык сертификаттары кардарга серверден, ал эми түпкү сертификат кардардан берилет. бар, ошондуктан бул сертификаттар жыйнагы менен чынжыр түзүп, веб-сайттын аныктыгын текшере аласыз.
Маселе, ар бир сертификаттын жарактуу мөөнөтү бар, андан кийин аны алмаштыруу керек. Мисалы, 1-жылдын 2020-сентябрынан тартып алар Safari браузеринде сервер TLS сертификаттарынын жарактуулук мөөнөтүнө чектөө киргизүүнү пландаштырууда. .
Бул бардыгыбыз сервер сертификаттарыбызды кеминде 12 ай сайын алмаштырууга туура келет дегенди билдирет. Бул чектөө сервер сертификаттарына гана тиешелүү; ал жок тамыр CA сертификаттарына колдонулат.
CA сертификаттары башка эрежелердин жыйындысы менен жөнгө салынат жана ошондуктан ар кандай жарактуу чектерге ээ. Жарактуулук мөөнөтү 5 жыл болгон аралык күбөлүктөрдү жана 25 жыл кызмат мөөнөтү менен түпкү сертификаттарды табуу өтө кеңири таралган!
Адатта, аралык сертификаттарда эч кандай көйгөйлөр болбойт, анткени алар кардарга сервер тарабынан берилет, ал өзү өзүнүн сертификатын алда канча тез-тез өзгөртөт, ошондуктан процессте ортоңку сертификатты алмаштырат. Түпкү CA сертификатынан айырмаланып, аны сервер сертификаты менен алмаштыруу оңой.
Жогоруда айтылгандай, түпкү CA түздөн-түз кардар түзмөгүнүн өзүнө, OS, браузер же башка программалык камсыздоого орнотулган. CA тамырын өзгөртүү веб-сайттын көзөмөлүндө эмес. Бул OS же программалык камсыздоону жаңыртуу болобу, кардарды жаңыртууну талап кылат.
Кээ бир түпкү CAлар абдан узак убакыт бою бар, биз 20-25 жыл жөнүндө сөз болуп жатат. Жакын арада кээ бир эң эски түпкү КАлар табигый жашоосунун аягына жакындашат, алардын убактысы бүтүп калды. Көпчүлүгүбүз үчүн бул эч кандай көйгөй болбойт, анткени CAлар жаңы түпкү сертификаттарды түзүшкөн жана алар көп жылдар бою OS жана браузер жаңыртууларында дүйнө жүзү боюнча таратылып келген. Бирок кимдир бирөө OS же браузерин көптөн бери жаңыртпаса, бул кандайдыр бир көйгөй.
Бул жагдай 30-жылдын 2020-майында саат 10:48:38де болгон. Бул так убакыт Comodo сертификаттоо органынан (Sectigo).
Дүкөнүндө жаңы USERTrust тамыр сертификаты жок эски түзмөктөр менен шайкеш келүүнү камсыздоо үчүн кайчылаш кол коюу үчүн колдонулган.
Тилекке каршы, көйгөйлөр эски браузерлерде гана эмес, OpenSSL 1.0.x, LibreSSL жана веб-браузердик эмес кардарларда да пайда болду. . Мисалы, приставкаларда , кызматы , Fortinet-те, Chargify колдонмолорунда, Linux үчүн .NET Core 2.0 платформасында жана .
Бул көйгөй эски системаларга гана (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 ж.б.) таасирин тийгизет деп болжолдонгон, анткени заманбап браузерлер экинчи USERTRust түпкү сертификатын колдоно алышат. Бирок чындыгында, бекер OpenSSL 1.0.x жана GnuTLS китепканаларын колдонгон жүздөгөн веб-кызматтарда каталар башталды. Сертификаттын эскиргендигин көрсөткөн ката билдирүүсү менен коопсуз туташууну мындан ары орнотуу мүмкүн болбой калды.
Кийинки - Келгиле, Шифрлейли
Келе жаткан тамыр CA өзгөртүүнүн дагы бир жакшы мисалы - бул Let's Encrypt сертификаттык органы. Дагы алар Identrust чынжырынан өздөрүнүн ISRG Root чынжырына өтүүнү пландаштырышкан, бирок бул .
"Android түзмөктөрүндө ISRG тамырынын кабыл алынбагандыгы тууралуу кооптонуулардан улам, биз түпкү тамырга өтүү күнүн 8-жылдын 2019-июлунан 8-жылдын 2020-июлуна жылдырууну чечтик", - деп айтылат Let's Encrypt билдирүүсүндө.
"Тамырдын таралышы" деп аталган көйгөйдөн улам, тагыраак айтканда, тамырдын таралышынын жоктугунан улам датаны кийинкиге калтырууга туура келген, анткени тамыр CA бардык кардарларга кеңири таралбайт.
Let's Encrypt учурда IdenTrust DST Root CA X3 менен чынжырланган кайчылаш кол коюлган аралык сертификатты колдонот. Бул түпкү сертификат 2000-жылдын сентябрында кайра берилген жана мөөнөтү 30-жылдын 2021-сентябрында бүтөт. Ага чейин Let's Encrypt өзүнүн ISRG Root X1ге өтүүнү пландаштырууда.
ISRG тамыры 4-жылдын 2015-июнунда чыгарылган. Ушундан кийин аны тастыктоочу орган катары бекитүү процесси башталып, ал аяктаган . Ушул учурдан тартып, түпкү CA бардык кардарлар үчүн операциялык система же программалык камсыздоону жаңыртуу аркылуу жеткиликтүү болгон. Болгону жаңыртууну орнотуу керек болчу.
Бирок маселе мына ушунда.
Эгерде сиздин уюлдук телефонуңуз, сыналгыңыз же башка түзмөгүңүз эки жылдан бери жаңыланбаса, ал жаңы ISRG Root X1 тамыр сертификаты жөнүндө кайдан билет? Эгер сиз аны системага орнотпосоңуз, анда Let's Encrypt жаңы тамырга которулаары менен түзмөгүңүз бардык Let's Encrypt сервер сертификаттарын жокко чыгарат. Ал эми Android экосистемасында көптөн бери жаңыланбаган көптөгөн эскирген түзмөктөр бар.
Android экосистемасы
Ушундан улам, Let's Encrypt өзүнүн ISRG тамырына өтүүнү кечеңдетип, IdenTrust тамырына чейин түшүп кеткен аралыкты колдонот. Бирок кандай болгон күндө да өтүү керек болот. Ал эми тамыр өзгөртүү күнү дайындалат .
ISRG X1 тамыры сиздин түзмөгүңүздө орнотулганын текшерүү үчүн (телевизор, приставка же башка кардар), сыноо сайтын ачыңыз . эч кандай коопсуздук эскертүү пайда болсо, анда баары жакшы болот.
Let's Encrypt жаңы тамырга өтүү көйгөйүнө туш болгон жалгыз адам эмес. Интернеттеги криптография 20 жыл мурун эле колдонула баштаган, ошондуктан азыр көптөгөн түпкү сертификаттардын мөөнөтү бүтө турган учур.
Smart TV программасын көп жылдар бою жаңыртпаган смарт сыналгылардын ээлери бул көйгөйгө туш болушу мүмкүн. Мисалы, жаңы GlobalSign тамыры 2012-жылы чыгарылган жана кээ бир эски Smart сыналгылардан кийин ага чынжыр кура алышпайт, анткени аларда бул тамыр CA жок. Атап айтканда, бул кардарлар bbc.co.uk веб-сайтына коопсуз байланыш түзө алышкан эмес. Көйгөйдү чечүү үчүн Би-Би-Синин администраторлору бир амалга барууга туура келди: алар эски тамырларды колдонуу менен кошумча ортолук күбөлүктөр аркылуу и , али чирип кете элек.
www.bbc.co.uk (Жалбырак) GlobalSign ECC OV SSL CA 2018 (Орто) GlobalSign Root CA - R5 (Орто) GlobalSign Root CA - R3 (Орто)
Бул убактылуу чечим болуп саналат. Кардардын программасын жаңыртмайынча көйгөй чечилбейт. Акылдуу сыналгы – бул Linux менен иштеген чектелген функциялуу компьютер. Жана жаңыртууларсыз анын түпкү сертификаттары сөзсүз чирийт.
Бул сыналгыларга эле эмес, бардык түзмөктөргө тиешелүү. Эгер сизде Интернетке туташкан жана "акылдуу" түзмөк катары жарыяланган кандайдыр бир аппаратыңыз болсо, анда чириген сертификаттар көйгөйү ага байланыштуу. Түзмөк жаңыртылган эмес болсо, тамыр CA дүкөнү убакыттын өтүшү менен эскирип, акыры көйгөй пайда болот. Көйгөйдүн качан пайда болушу тамыр дүкөнү акыркы жолу качан жаңыртылганынан көз каранды. Бул аппараттын чыныгы релиз күнүнө чейин бир нече жыл болушу мүмкүн.
Айтмакчы, бул көйгөй эмне үчүн кээ бир чоң медиа платформалар Let's Encrypt сыяктуу заманбап автоматташтырылган сертификат органдарын колдоно албайт, деп жазат Скотт Хелме. Алар акылдуу сыналгылар үчүн ылайыктуу эмес, ал эми тамырлардын саны эски түзмөктөрдө тастыктаманы колдоого кепилдик берүү үчүн өтө аз. Болбосо, сыналгы жөн гана заманбап агымдык кызматтарды ишке киргизе албайт.
AddTrust менен болгон акыркы окуя, атүгүл ири IT-компаниялар түпкү сертификаттын мөөнөтү бүтүшүнө даяр эмес экенин көрсөттү.
Көйгөйдүн бир гана чечими бар - жаңылоо. Акылдуу түзүлүштөрдү иштеп чыгуучулар алдын ала программалык камсыздоону жана түпкү сертификаттарды жаңыртуу механизмин камсыз кылышы керек. Башка жагынан алганда, өндүрүүчүлөр үчүн кепилдик мөөнөтү аяктагандан кийин алардын аппараттарынын иштешин камсыз кылуу үчүн пайдалуу эмес.
Source: www.habr.com