Lai pÄrlÅ«kprogramma autentificÄtu vietni, tai tiek parÄdÄ«ta derÄ«ga sertifikÄtu Ä·Äde. Tipiska Ä·Äde ir parÄdÄ«ta iepriekÅ”, un var bÅ«t vairÄk nekÄ viens starpsertifikÄts. MinimÄlais sertifikÄtu skaits derÄ«gÄ Ä·ÄdÄ ir trÄ«s.
Saknes sertifikÄts ir sertifikÄcijas iestÄdes sirds. Tas burtiski ir iebÅ«vÄts jÅ«su operÄtÄjsistÄmÄ vai pÄrlÅ«kprogrammÄ, tas ir fiziski pieejams jÅ«su ierÄ«cÄ. To nevar mainÄ«t no servera puses. Ir nepiecieÅ”ams piespiedu OS vai programmaparatÅ«ras atjauninÄjums ierÄ«cÄ.
DroŔības speciÄlists Skots Helme
SertifikÄcijas iestÄdes (CA) beigu un starpposma sertifikÄti klientam tiek piegÄdÄti no servera, un saknes sertifikÄts ir no klienta. jau ir, tÄpÄc ar Å”o sertifikÄtu kolekciju var izveidot Ä·Ädi un autentificÄt vietni.
ProblÄma ir tÄ, ka katram sertifikÄtam ir derÄ«guma termiÅÅ”, pÄc kura tas ir jÄnomaina. PiemÄram, no 1. gada 2020. septembra viÅi plÄno ieviest servera TLS sertifikÄtu derÄ«guma termiÅa ierobežojumu pÄrlÅ«kprogrammÄ Safari
Tas nozÄ«mÄ, ka mums visiem bÅ«s jÄmaina mÅ«su servera sertifikÄti vismaz reizi 12 mÄneÅ”os. Å is ierobežojums attiecas tikai uz servera sertifikÄtiem; tas nÄ attiecas uz saknes CA sertifikÄtiem.
CA sertifikÄtus regulÄ cits noteikumu kopums, un tÄpÄc tiem ir atŔķirÄ«gi derÄ«guma ierobežojumi. Ä»oti bieži var atrast starpsertifikÄtus ar derÄ«guma termiÅu 5 gadi un saknes sertifikÄtus ar kalpoÅ”anas laiku pat 25 gadi!
Ar starpsertifikÄtiem parasti nav problÄmu, jo tos klientam piegÄdÄ serveris, kurÅ” pats savu sertifikÄtu maina daudz biežÄk, tÄtad procesÄ vienkÄrÅ”i nomaina starpsertifikÄtu. AtŔķirÄ«bÄ no saknes CA sertifikÄta to ir diezgan viegli nomainÄ«t kopÄ ar servera sertifikÄtu.
KÄ jau teicÄm, saknes CA ir iebÅ«vÄta tieÅ”i paÅ”Ä klienta ierÄ«cÄ, operÄtÄjsistÄmÄ, pÄrlÅ«kprogrammÄ vai citÄ programmatÅ«rÄ. Saknes CA maiÅa ir Ärpus vietnes kontroles. Tam nepiecieÅ”ams klienta atjauninÄjums neatkarÄ«gi no tÄ, vai tas ir OS vai programmatÅ«ras atjauninÄjums.
Dažas saknes CA pastÄv jau ļoti ilgu laiku, mÄs runÄjam par 20-25 gadiem. DrÄ«zumÄ dažas no vecÄkajÄm sakÅu CA tuvosies savas dabiskÄs dzÄ«ves beigÄm, to laiks ir gandrÄ«z beidzies. LielÄkajai daļai no mums tÄ nemaz nebÅ«s problÄma, jo CA ir izveidojuÅ”i jaunus saknes sertifikÄtus un tie ir izplatÄ«ti visÄ pasaulÄ OS un pÄrlÅ«kprogrammu atjauninÄjumos daudzus gadus. Bet, ja kÄds nav atjauninÄjis savu OS vai pÄrlÅ«kprogrammu ļoti ilgu laiku, tÄ ir sava veida problÄma.
Å Ä« situÄcija radÄs 30. gada 2020. maijÄ plkst. 10:48:38 GMT. Å is ir precÄ«zs laiks, kad
Tas tika izmantots savstarpÄjai parakstÄ«Å”anai, lai nodroÅ”inÄtu saderÄ«bu ar mantotajÄm ierÄ«cÄm, kuru veikalÄ nav jaunÄ USERTrust saknes sertifikÄta.
DiemžÄl problÄmas radÄs ne tikai mantotajÄs pÄrlÅ«kprogrammÄs, bet arÄ« klientiem, kas nav pÄrlÅ«kprogrammas, kuru pamatÄ ir OpenSSL 1.0.x, LibreSSL un
Tika pieÅemts, ka problÄma skars tikai mantotÄs sistÄmas (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 utt.), jo mÅ«sdienu pÄrlÅ«kprogrammas var izmantot otro USERTRust saknes sertifikÄtu. TaÄu patiesÄ«bÄ kļūmes sÄkÄs simtiem tÄ«mekļa pakalpojumu, kas izmantoja bezmaksas OpenSSL 1.0.x un GnuTLS bibliotÄkas. DroÅ”u savienojumu vairs nevarÄja izveidot ar kļūdas ziÅojumu, kas norÄda, ka sertifikÄts ir novecojis.
NÄkamais - Å ifrÄsim
VÄl viens labs piemÄrs gaidÄmajÄm saknes CA izmaiÅÄm ir Let's Encrypt sertifikÄta iestÄde. VairÄk
"Å
emot vÄrÄ bažas par to, ka Android ierÄ«cÄs netiek izmantota ISRG sakne, mÄs esam nolÄmuÅ”i pÄrvietot sÄkotnÄjÄs saknes pÄrejas datumu no 8. gada 2019. jÅ«lija uz 8. gada 2020. jÅ«liju," teikts Let's Encrypt paziÅojumÄ.
Datumu nÄcÄs pÄrcelt problÄmas dÄļ, ko sauc par āsakÅu pavairoÅ”anuā, vai precÄ«zÄk, sakÅu izplatÄ«bas trÅ«kuma dÄļ, kad saknes CA nav ļoti plaÅ”i izplatÄ«ts pa visiem klientiem.
Let's Encrypt paÅ”laik izmanto krusteniski parakstÄ«tu starpposma sertifikÄtu, kas savienots ar IdenTrust DST Root CA X3. Å is saknes sertifikÄts tika izsniegts 2000. gada septembrÄ« un beidzas 30. gada 2021. septembrÄ«. LÄ«dz tam brÄ«dim Let's Encrypt plÄno migrÄt uz savu paÅ”parakstÄ«to ISRG Root X1.
ISRG sakne tika izlaista 4. gada 2015. jÅ«nijÄ. PÄc tam sÄkÄs tÄs apstiprinÄÅ”anas process par sertifikÄcijas iestÄdi, kas beidzÄs
Bet tÄ ir problÄma.
Ja jÅ«su mobilais tÄlrunis, televizors vai cita ierÄ«ce nav atjauninÄta divus gadus, kÄ tas uzzinÄs par jauno ISRG Root X1 saknes sertifikÄtu? Un, ja jÅ«s to neinstalÄjat sistÄmÄ, jÅ«su ierÄ«ce anulÄs visus Let's Encrypt servera sertifikÄtus, tiklÄ«dz Let's Encrypt pÄrslÄgsies uz jaunu sakni. Un Android ekosistÄmÄ ir daudz novecojuÅ”u ierÄ«Äu, kuras ilgu laiku nav atjauninÄtas.
Android ekosistÄma
TÄpÄc Let's Encrypt aizkavÄja pÄreju uz savu ISRG sakni un joprojÄm izmanto starpproduktu, kas iet uz IdenTrust sakni. Bet pÄreja bÅ«s jÄveic jebkurÄ gadÄ«jumÄ. Un tiek pieŔķirts saknes maiÅas datums
Lai pÄrbaudÄ«tu, vai jÅ«su ierÄ«cÄ (televizorÄ, televizora pierÄ«cÄ vai citÄ klientÄ) ir instalÄta ISRG X1 sakne, atveriet testa vietni.
Let's Encrypt nav vienÄ«gais, kas saskaras ar izaicinÄjumu migrÄt uz jaunu sakni. KriptogrÄfija internetÄ tika sÄkta izmantot nedaudz vairÄk nekÄ pirms 20 gadiem, tÄpÄc tagad ir laiks, kad daudziem saknes sertifikÄtiem drÄ«z beigsies derÄ«guma termiÅÅ”.
Ar Å”o problÄmu var saskarties viedo televizoru Ä«paÅ”nieki, kuri nav atjauninÄjuÅ”i Smart TV programmatÅ«ru daudzus gadus. PiemÄram, jaunÄ GlobalSign sakne
www.bbc.co.uk (Lapa) GlobalSign ECC OV SSL CA 2018 (Intermediate) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (Intermediate)
Å is ir pagaidu risinÄjums. ProblÄma nepazudÄ«s, ja neatjauninÄsiet klienta programmatÅ«ru. Viedais televizors bÅ«tÄ«bÄ ir ierobežotas funkcionalitÄtes dators, kurÄ darbojas Linux. Un bez atjauninÄjumiem tÄ saknes sertifikÄti neizbÄgami kļūs sapuvuÅ”i.
Tas attiecas uz visÄm ierÄ«cÄm, ne tikai uz televizoriem. Ja jums ir kÄda ierÄ«ce, kas ir savienota ar internetu un tika reklamÄta kÄ āviedÄā ierÄ«ce, tad problÄma ar sabojÄtiem sertifikÄtiem gandrÄ«z noteikti attiecas uz to. Ja ierÄ«ce netiek atjauninÄta, saknes CA krÄtuve laika gaitÄ novecos, un galu galÄ problÄma parÄdÄ«sies. Cik Ätri problÄma rodas, ir atkarÄ«gs no tÄ, kad pÄdÄjo reizi tika atjauninÄts saknes veikals. Tas var bÅ«t vairÄkus gadus pirms ierÄ«ces faktiskÄ izlaiÅ”anas datuma.
Starp citu, Ŕī ir problÄma, kÄpÄc dažas lielas mediju platformas nevar izmantot tÄdas modernas automatizÄtas sertifikÄcijas iestÄdes kÄ Let's Encrypt, raksta Skots Helme. Tie nav piemÄroti viedtelevizoriem, un sakÅu skaits ir pÄrÄk mazs, lai garantÄtu sertifikÄtu atbalstu mantotajÄs ierÄ«cÄs. PretÄjÄ gadÄ«jumÄ TV vienkÄrÅ”i nevarÄs palaist modernus straumÄÅ”anas pakalpojumus.
PÄdÄjais incidents ar AddTrust parÄdÄ«ja, ka pat lielie IT uzÅÄmumi nav gatavi tam, ka saknes sertifikÄts beidzas.
ProblÄmai ir tikai viens risinÄjums - atjauninÄÅ”ana. ViedierÄ«Äu izstrÄdÄtÄjiem jau iepriekÅ” jÄnodroÅ”ina programmatÅ«ras un saknes sertifikÄtu atjauninÄÅ”anas mehÄnisms. SavukÄrt ražotÄjiem nav izdevÄ«gi nodroÅ”inÄt savu ierÄ«Äu darbÄ«bu pÄc garantijas termiÅa beigÄm.
Avots: www.habr.com