Tamin'ny 30 septambra tamin'ny 17:01 ora Moskoa, ny mari-pankasitrahana faka IdenTrust (DST Root CA X3), izay nampiasaina hanasoniavana ny taratasy fanamarinana fototry ny fahefana fanamarinana Let's Encrypt (ISRG Root X1), izay fehezin'ny vondrom-piarahamonina ary manome certificat maimaim-poana ho an'ny rehetra, lany daty. Ny fanaovan-tsonia dia niantoka fa ny mari-pankasitrahana Let's Encrypt dia azo itokisana amin'ny fitaovana isan-karazany, rafitra fiasana ary mpitety tranonkala raha toa ka nampidirina tao amin'ny magazay certificat root ny mari-pamantarana fototra an'ny Let's Encrypt.
Nokasaina tany am-boalohany fa aorian'ny fanafoanana ny DST Root CA X3, ny tetikasa Let's Encrypt dia hiova amin'ny famoronana sonia amin'ny fampiasana ny mari-pamantarana fakany ihany, fa ny hetsika toy izany dia hitarika ho amin'ny fahaverezan'ny fifanarahana amin'ireo rafitra tranainy maro izay tsy nanao izany. ampio ny mari-pamantarana fototra Let's Encrypt ao amin'ny trano fitehirizan-dry zareo. Indrindra indrindra, manodidina ny 30% amin'ny fitaovana Android ampiasaina no tsy manana angon-drakitra momba ny mari-pankasitrahana fakan'ny Let's Encrypt, ny fanohanana izay vao nanomboka tamin'ny sehatra Android 7.1.1, navoaka tamin'ny faran'ny taona 2016.
Let's Encrypt dia tsy nikasa ny hanao sonia fifanekena vaovao, satria izany dia mametraka andraikitra fanampiny ho an'ireo antoko amin'ny fifanarahana, manaisotra azy ireo amin'ny fahaleovantena ary mamatotra ny tanany amin'ny lafiny fanarahana ny fomba rehetra sy ny fitsipiky ny fahefana fanamarinana hafa. Saingy noho ny olana mety hitranga amin'ny fitaovana Android marobe dia nohavaozina ny drafitra. Nisy fifanarahana vaovao nifarana niaraka tamin'ny manam-pahefana fanamarinana IdenTrust, ao anatin'ny rafitra izay namoronana ny mari-pamantarana mpanelanelana Let's Encrypt hafa nosoniavina. Ny sonia cross dia manan-kery mandritra ny telo taona ary hitazona ny fanohanana ireo fitaovana Android manomboka amin'ny version 2.3.6.
Na izany aza, ny taratasy fanamarinana mpanelanelana vaovao dia tsy mandrakotra rafitra lova maro hafa. Ohatra, rehefa lany ny mari-pankasitrahana DST Root CA X3 amin'ny 30 septambra, dia tsy ekena intsony ny mari-pankasitrahana Let's Encrypt amin'ny firmware tsy tohanana sy ny rafitra miasa izay mitaky ny fampidirana amin'ny tanana ny taratasy fanamarinana ISRG Root X1 amin'ny fivarotana certificat root mba hiantohana ny fitokisana amin'ny fanamarinana Let's Encrypt. . Ny olana dia hiseho amin'ny:
- OpenSSL hatramin'ny sampana 1.0.2 tafiditra ao (natsahatra ny fikojakojana ny sampana 1.0.2 tamin'ny Desambra 2019);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS <10 (iPhone <5);
- Android < 2.3.6;
- Mozilla Firefox <50;
- Ubuntu < 16.04;
- Debian <8.
Raha ny OpenSSL 1.0.2, ny olana dia avy amin'ny bug izay manakana ny fanamarinana voasonia cross tsy hokarakaraina araka ny tokony ho izy raha toa ka lany ny taratasy fanamarinana fototra ampiasaina amin'ny sonia, na dia mijanona aza ny rojom-pitokisana hafa manan-kery. Nipoitra voalohany ny olana tamin'ny taon-dasa taorian'ny lasa lany andro ny taratasy fanamarinana AddTrust nampiasaina tamin'ny fanasoniavana taratasy fanamarinana avy amin'ny fahefana fanamarinana Sectigo (Comodo). Ny fototry ny olana dia ny OpenSSL dia nanaparitaka ny taratasy fanamarinana ho toy ny rojo tsipika, fa araka ny voalazan'ny RFC 4158, ny taratasy fanamarinana dia afaka maneho ny grafika boribory miparitaka miaraka amin'ny vatofantsika fitokisana marobe izay tokony hodinihina.
Ireo mpampiasa ny fizarana tranainy miorina amin'ny OpenSSL 1.0.2 dia omena vahaolana telo hamahana ny olana:
- Nesorina tamin'ny tanana ny taratasy fanamarinana fakan'ny IdenTrust DST Root CA X3 ary nametraka ny taratasy fanamarinana fototra ISRG Root X1 mitokana (tsy misy sonia).
- Rehefa mihazakazaka ny openssl verify sy s_client baiko dia azonao atao ny mamaritra ny safidy "--trusted_first".
- Ampiasao amin'ny mpizara ny mari-pankasitrahana nohamarinin'ny certificat root mitokana SRG Root X1, izay tsy misy sonia. Ity fomba ity dia hitarika amin'ny fahaverezan'ny fifanarahana amin'ireo mpanjifa Android taloha.
Fanampin'izay, azontsika atao ny manamarika fa ny tetikasa Let's Encrypt dia naharesy ny zava-bitan'ny mari-pankasitrahana roa lavitrisa. Nahatratra iray lavitrisa ny zava-bita taminβny volana febroary taminβny taon-dasa. 2.2-2.4 tapitrisa vaovao no avoaka isan'andro. Ny isan'ny mari-pankasitrahana mavitrika dia 192 tapitrisa (certificat iray manankery mandritra ny telo volana) ary mandrakotra sehatra 260 tapitrisa eo ho eo (faritra 195 tapitrisa no voarakotra herintaona lasa izay, 150 tapitrisa roa taona lasa izay, 60 tapitrisa telo taona lasa izay). Araka ny antontan'isa avy amin'ny serivisy Firefox Telemetry, ny ampahany manerantany amin'ny fangatahana pejy amin'ny alΓ lan'ny HTTPS dia 82% (herintaona lasa izay - 81%, roa taona lasa izay - 77%, telo taona lasa izay - 69%, efa-taona lasa izay - 58%).
Source: opennet.ru