30-сентябрда Москва убактысы боюнча саат 17:01де IdenTrust тамыр сертификаты (DST Root CA X3), ал коомчулук тарабынан көзөмөлдөнгөн Let's Encrypt сертификаттоо органынын (ISRG Root X1) түпкү сертификатына кайчылаш кол коюу үчүн колдонулган. сертификаттарды баарына бекер берет, мөөнөтү бүтөт. Кайчылаш кол коюу менен Let's Encrypt сертификаттары көптөгөн түзмөктөрдө, операциялык тутумдарда жана браузерлерде ишенимдүү болгон, ал эми Let's Encrypt'тин өз тамыр сертификаты түпкү сертификат дүкөндөрүнө бириктирилген.
Башында DST Root CA X3 эскиргенден кийин, Let's Encrypt долбоору өзүнүн түпкү сертификатын колдонуу менен кол тамгаларды түзүүгө өтөт деп пландаштырылган, бирок мындай кадам көп сандагы эски системалар менен шайкештиктин жоголушуна алып келет. алардын репозиторийлерине Let's Encrypt тамыр сертификатын кошуңуз. Атап айтканда, колдонулуп жаткан Android түзмөктөрүнүн болжол менен 30%ында Let's Encrypt тамыр сертификатында маалыматтар жок, аны колдоо 7.1.1-жылдын аягында чыгарылган Android 2016 платформасынан баштап гана пайда болгон.
Let's Encrypt жаңы кайчылаш кол коюу келишимин түзүүнү пландаган эмес, анткени бул келишимдин тараптарына кошумча жоопкерчилик жүктөйт, аларды көз карандысыздыктан ажыратат жана башка күбөлөндүрүүчү органдын бардык процедураларын жана эрежелерин сактоо жагынан алардын колун байлайт. Бирок көп сандагы Android түзмөктөрүндөгү мүмкүн болгон көйгөйлөрдөн улам план кайра каралып чыкты. IdenTrust сертификациялык органы менен жаңы келишим түзүлүп, анын алкагында альтернативалуу кайчылаш кол коюлган Let’s Encrypt аралык сертификаты түзүлгөн. Кайчылаш кол үч жыл бою күчүндө болот жана 2.3.6 версиясынан баштап Android түзмөктөрүнө колдоо көрсөтөт.
Бирок, жаңы ортолук күбөлүк башка көптөгөн эски системаларды камтыбайт. Мисалы, 3-сентябрда DST Root CA X30 сертификатынын эскирүүсүнө байланыштуу, Let's Encrypt сертификаттары колдоого алынбаган микропрограммаларда жана операциялык тутумдарда кабыл алынбайт, алар Let's'ге ишенимди камсыз кылуу үчүн ISRG Root X1 сертификатын түпкү сертификаттар дүкөнүнө кол менен кошууну талап кылат. Сертификаттарды шифрлөө. Көйгөйлөр төмөнкүчө чагылдырылат:
- OpenSSL 1.0.2 филиалына чейин (1.0.2 филиалын тейлөө 2019-жылдын декабрында токтотулган);
- NSS <3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian <8.
OpenSSL 1.0.2 болгон учурда, көйгөй башка жарактуу ишеним чынжырчалары калган күндө да, кол коюу үчүн колдонулган түпкү сертификаттардын биринин мөөнөтү бүтсө, кайчылаш кол коюлган сертификаттардын туура иштетилишине тоскоол болгон катадан келип чыгат. Көйгөй биринчи жолу өткөн жылы Sectigo (Comodo) сертификаттоо органынын сертификаттарына кол коюу үчүн колдонулган AddTrust сертификаты эскиргенден кийин пайда болгон. Көйгөйдүн өзөгү OpenSSL сертификатты сызыктуу чынжыр катары талдаган, ал эми RFC 4158ге ылайык, сертификат бир нече ишеним анкерлери бар багытталган бөлүштүрүлгөн тегерек графикти көрсөтө алат, аларды эске алуу керек.
OpenSSL 1.0.2 негизиндеги эски дистрибьюциялардын колдонуучуларына көйгөйдү чечүүнүн үч жолу сунушталат:
- IdenTrust DST Root CA X3 түпкү сертификатын кол менен алып салыңыз жана өз алдынча (кайчылаш кол коюлган эмес) ISRG Root X1 тамыр сертификатын орнотуңуз.
- openssl verify жана s_client буйруктарын иштетип жатканда, "--trusted_first" параметрин көрсөтсөңүз болот.
- Серверде кайчылаш кол тамгасы жок SRG Root X1 өзүнчө түпкү сертификаты менен тастыкталган сертификатты колдонуңуз. Бул ыкма эски Android кардарлары менен шайкештикти жоготууга алып келет.
Кошумчалай кетсек, Let's Encrypt долбоору эки миллиард өндүрүлгөн сертификаттардын этаптарын басып өткөнүн белгилей алабыз. Бир миллиард чекке былтыр февраль айында жеткен. Күн сайын 2.2-2.4 миллион жаңы сертификаттар түзүлөт. Активдүү сертификаттардын саны 192 миллионду түзөт (сертификат үч айга жарактуу) жана болжол менен 260 миллион доменди камтыйт (195 миллион домен бир жыл мурун, 150 миллион эки жыл мурун, 60 миллион үч жыл мурун камтылган). Firefox Telemetry сервисинин статистикасына ылайык, HTTPS аркылуу барак сурамдарынын дүйнөлүк үлүшү 82% (бир жыл мурун - 81%, эки жыл мурун - 77%, үч жыл мурун - 69%, төрт жыл мурун - 58%).
Source: opennet.ru