Lai pārlūkprogramma autentificētu vietni, tai tiek parādīta derīga sertifikātu ķēde. Tipiska ķēde ir parādīta iepriekš, un var būt vairāk nekā viens starpsertifikāts. Minimālais sertifikātu skaits derīgā ķēdē ir trīs.

Saknes sertifikāts ir sertifikācijas iestādes sirds. Tas burtiski ir iebūvēts jūsu operētājsistēmā vai pārlūkprogrammā, tas ir fiziski pieejams jūsu ierīcē. To nevar mainīt no servera puses. Ir nepieciešams piespiedu OS vai programmaparatūras atjauninājums ierīcē.

Drošības speciālists Skots Helme raksta, ka galvenās problēmas radīsies ar Let's Encrypt sertifikācijas iestādi, jo šodien tā ir vispopulārākā CA internetā, un tās saknes sertifikāts drīz sabojāsies. Saknes Let's Encrypt maiņa plānots 8. gada 2020. jūlijā.

Sertifikācijas iestādes (CA) beigu un starpposma sertifikāti klientam tiek piegādāti no servera, un saknes sertifikāts ir no klienta. jau ir, tāpēc ar šo sertifikātu kolekciju var izveidot ķēdi un autentificēt vietni.

Problēma ir tā, ka katram sertifikātam ir derīguma termiņš, pēc kura tas ir jānomaina. Piemēram, no 1. gada 2020. septembra viņi plāno ieviest servera TLS sertifikātu derīguma termiņa ierobežojumu pārlūkprogrammā Safari maksimāli 398 dienas.

Tas nozīmē, ka mums visiem būs jāmaina mūsu servera sertifikāti vismaz reizi 12 mēnešos. Šis ierobežojums attiecas tikai uz servera sertifikātiem; tas nē attiecas uz saknes CA sertifikātiem.

CA sertifikātus regulē cits noteikumu kopums, un tāpēc tiem ir atšķirīgi derīguma ierobežojumi. Ļoti bieži var atrast starpsertifikātus ar derīguma termiņu 5 gadi un saknes sertifikātus ar kalpošanas laiku pat 25 gadi!

Ar starpsertifikātiem parasti nav problēmu, jo tos klientam piegādā serveris, kurš pats savu sertifikātu maina daudz biežāk, tātad procesā vienkārši nomaina starpsertifikātu. Atšķirībā no saknes CA sertifikāta to ir diezgan viegli nomainīt kopā ar servera sertifikātu.

Kā jau teicām, saknes CA ir iebūvēta tieši pašā klienta ierīcē, operētājsistēmā, pārlūkprogrammā vai citā programmatūrā. Saknes CA maiņa ir ārpus vietnes kontroles. Tam nepieciešams klienta atjauninājums neatkarīgi no tā, vai tas ir OS vai programmatūras atjauninājums.

Dažas saknes CA pastāv jau ļoti ilgu laiku, mēs runājam par 20-25 gadiem. Drīzumā dažas no vecākajām sakņu CA tuvosies savas dabiskās dzīves beigām, to laiks ir gandrīz beidzies. Lielākajai daļai no mums tā nemaz nebūs problēma, jo CA ir izveidojuši jaunus saknes sertifikātus un tie ir izplatīti visā pasaulē OS un pārlūkprogrammu atjauninājumos daudzus gadus. Bet, ja kāds nav atjauninājis savu OS vai pārlūkprogrammu ļoti ilgu laiku, tā ir sava veida problēma.

Šī situācija radās 30. gada 2020. maijā plkst. 10:48:38 GMT. Šis ir precīzs laiks, kad AddTrust saknes sertifikāts ir sapuvis no Comodo sertifikācijas iestādes (Sectigo).

Tas tika izmantots savstarpējai parakstīšanai, lai nodrošinātu saderību ar mantotajām ierīcēm, kuru veikalā nav jaunā USERTrust saknes sertifikāta.

Diemžēl problēmas radās ne tikai mantotajās pārlūkprogrammās, bet arī klientiem, kas nav pārlūkprogrammas, kuru pamatā ir OpenSSL 1.0.x, LibreSSL un gnuTLS. Piemēram, televizora pierīcēs gads, apkalpošana Heroku, Fortinet, Chargify lietojumprogrammās, .NET Core 2.0 platformā Linux un daudzskaitlis otrais.

Tika pieņemts, ka problēma skars tikai mantotās sistēmas (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 utt.), jo mūsdienu pārlūkprogrammas var izmantot otro USERTRust saknes sertifikātu. Taču patiesībā kļūmes sākās simtiem tīmekļa pakalpojumu, kas izmantoja bezmaksas OpenSSL 1.0.x un GnuTLS bibliotēkas. Drošu savienojumu vairs nevarēja izveidot ar kļūdas ziņojumu, kas norāda, ka sertifikāts ir novecojis.

Nākamais - Šifrēsim

Vēl viens labs piemērs gaidāmajām saknes CA izmaiņām ir Let's Encrypt sertifikāta iestāde. Vairāk 2019. gada aprīlī viņi plānoja pāriet no Identrust ķēdes uz savu ISRG Root ķēdi, bet tas Nesanāca.

"Ņemot vērā bažas par to, ka Android ierīcēs netiek izmantota ISRG sakne, mēs esam nolēmuši pārvietot sākotnējās saknes pārejas datumu no 8. gada 2019. jūlija uz 8. gada 2020. jūliju," teikts Let's Encrypt paziņojumā.

Datumu nācās pārcelt problēmas dēļ, ko sauc par “sakņu pavairošanu”, vai precīzāk, sakņu izplatības trūkuma dēļ, kad saknes CA nav ļoti plaši izplatīts pa visiem klientiem.

Let's Encrypt pašlaik izmanto krusteniski parakstītu starpposma sertifikātu, kas savienots ar IdenTrust DST Root CA X3. Šis saknes sertifikāts tika izsniegts 2000. gada septembrī un beidzas 30. gada 2021. septembrī. Līdz tam brīdim Let's Encrypt plāno migrēt uz savu pašparakstīto ISRG Root X1.

ISRG sakne tika izlaista 4. gada 2015. jūnijā. Pēc tam sākās tās apstiprināšanas process par sertifikācijas iestādi, kas beidzās 6 августа 2018 года. No šī brīža saknes CA bija pieejama visiem klientiem, izmantojot operētājsistēmu vai programmatūras atjauninājumu. Viss, kas jums jādara, bija instalēt atjauninājumu.

Bet tā ir problēma.

Ja jūsu mobilais tālrunis, televizors vai cita ierīce nav atjaunināta divus gadus, kā tas uzzinās par jauno ISRG Root X1 saknes sertifikātu? Un, ja jūs to neinstalējat sistēmā, jūsu ierīce anulēs visus Let's Encrypt servera sertifikātus, tiklīdz Let's Encrypt pārslēgsies uz jaunu sakni. Un Android ekosistēmā ir daudz novecojušu ierīču, kuras ilgu laiku nav atjauninātas.

Android ekosistēma

Tāpēc Let's Encrypt aizkavēja pāreju uz savu ISRG sakni un joprojām izmanto starpproduktu, kas iet uz IdenTrust sakni. Bet pāreja būs jāveic jebkurā gadījumā. Un tiek piešķirts saknes maiņas datums Jūlijs 8 2020 gadiem.

Lai pārbaudītu, vai jūsu ierīcē (televizorā, televizora pierīcē vai citā klientā) ir instalēta ISRG X1 sakne, atveriet testa vietni. https://valid-isrgrootx1.letsencrypt.org/. Ja neparādās drošības brīdinājums, tad parasti viss ir kārtībā.

Let's Encrypt nav vienīgais, kas saskaras ar izaicinājumu migrēt uz jaunu sakni. Kriptogrāfija internetā tika sākta izmantot nedaudz vairāk nekā pirms 20 gadiem, tāpēc tagad ir laiks, kad daudziem saknes sertifikātiem drīz beigsies derīguma termiņš.

Ar šo problēmu var saskarties viedo televizoru īpašnieki, kuri nav atjauninājuši Smart TV programmatūru daudzus gadus. Piemēram, jaunā GlobalSign sakne R5 sakne tika izlaists 2012. gadā, un pēc tam, kad daži veci Smart TV nevar izveidot ķēdi, jo tiem vienkārši nav šīs saknes CA. Jo īpaši šie klienti nevarēja izveidot drošu savienojumu ar vietni bbc.co.uk. Lai atrisinātu problēmu, BBC administratoriem bija jāizmanto triks: viņi Mēs šiem klientiem izveidojām alternatīvu ķēdi izmantojot papildu starpsertifikātus, izmantojot vecās saknes R3 sakne и R1 sakne, kas vēl nav sapuvuši.

www.bbc.co.uk (Lapa) GlobalSign ECC OV SSL CA 2018 (Intermediate) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (Intermediate)

Šis ir pagaidu risinājums. Problēma nepazudīs, ja neatjaunināsiet klienta programmatūru. Viedais televizors būtībā ir ierobežotas funkcionalitātes dators, kurā darbojas Linux. Un bez atjauninājumiem tā saknes sertifikāti neizbēgami kļūs sapuvuši.

Tas attiecas uz visām ierīcēm, ne tikai uz televizoriem. Ja jums ir kāda ierīce, kas ir savienota ar internetu un tika reklamēta kā “viedā” ierīce, tad problēma ar sabojātiem sertifikātiem gandrīz noteikti attiecas uz to. Ja ierīce netiek atjaunināta, saknes CA krātuve laika gaitā novecos, un galu galā problēma parādīsies. Cik ātri problēma rodas, ir atkarīgs no tā, kad pēdējo reizi tika atjaunināts saknes veikals. Tas var būt vairākus gadus pirms ierīces faktiskā izlaišanas datuma.

Starp citu, šī ir problēma, kāpēc dažas lielas mediju platformas nevar izmantot tādas modernas automatizētas sertifikācijas iestādes kā Let's Encrypt, raksta Skots Helme. Tie nav piemēroti viedtelevizoriem, un sakņu skaits ir pārāk mazs, lai garantētu sertifikātu atbalstu mantotajās ierīcēs. Pretējā gadījumā TV vienkārši nevarēs palaist modernus straumēšanas pakalpojumus.

Pēdējais incidents ar AddTrust parādīja, ka pat lielie IT uzņēmumi nav gatavi tam, ka saknes sertifikāts beidzas.

Problēmai ir tikai viens risinājums - atjaunināšana. Viedierīču izstrādātājiem jau iepriekš jānodrošina programmatūras un saknes sertifikātu atjaunināšanas mehānisms. Savukārt ražotājiem nav izdevīgi nodrošināt savu ierīču darbību pēc garantijas termiņa beigām.

Avots: www.habr.com