Вэбсайтыг баталгаажуулахын тулд хөтөч нь хүчинтэй гэрчилгээний хэлхээг харуулж байна. Ердийн хэлхээг дээр харуулсан бөгөөд нэгээс олон завсрын гэрчилгээ байж болно. Хүчин төгөлдөр сүлжээн дэх гэрчилгээний хамгийн бага тоо гурав байна.
Үндсэн гэрчилгээ нь гэрчилгээний байгууллагын зүрх сэтгэл юм. Энэ нь шууд утгаараа таны үйлдлийн систем эсвэл хөтөч дээр суурилагдсан бөгөөд таны төхөөрөмж дээр биет байдлаар байдаг. Үүнийг сервер талаас өөрчлөх боломжгүй. Төхөөрөмж дээрх үйлдлийн систем эсвэл програм хангамжийг албадан шинэчлэх шаардлагатай.
Аюулгүй байдлын мэргэжилтэн Скотт Хелме , Гол асуудал Let's Encrypt баталгаажуулалтын байгууллагад үүснэ, учир нь өнөөдөр энэ нь Интернет дэх хамгийн алдартай CA бөгөөд түүний үндсэн гэрчилгээ удахгүй муудах болно. Let's Encrypt root-г өөрчлөх .
Гэрчилгээжүүлэх байгууллагын (CA) эцсийн болон завсрын гэрчилгээг серверээс үйлчлүүлэгчид, эх гэрчилгээг үйлчлүүлэгчээс авдаг. аль хэдийн, иймээс энэхүү гэрчилгээний цуглуулгын тусламжтайгаар та сүлжээ үүсгэж, вэбсайтыг баталгаажуулах боломжтой.
Асуудал нь гэрчилгээ бүр хүчинтэй байх хугацаатай байдаг бөгөөд үүний дараа түүнийг солих шаардлагатай болдог. Жишээлбэл, 1 оны 2020-р сарын XNUMX-ээс тэд Safari хөтөч дээр серверийн TLS гэрчилгээний хүчинтэй байх хугацааг хязгаарлахаар төлөвлөж байна. .
Энэ нь бид бүгд дор хаяж 12 сар тутамд серверийн гэрчилгээгээ солих шаардлагатай болно гэсэн үг юм. Энэ хязгаарлалт нь зөвхөн серверийн гэрчилгээнд хамаарна үгүй үндсэн CA гэрчилгээнд хамаарна.
CA гэрчилгээ нь өөр дүрмээр зохицуулагддаг тул өөр өөр хүчинтэй байх хязгаартай байдаг. 5 жилийн хүчинтэй хугацаатай завсрын гэрчилгээ, 25 жил ч гэсэн үйлчилгээний хугацаатай эх гэрчилгээ олох нь маш түгээмэл байдаг!
Завсрын гэрчилгээнд ихэвчлэн ямар ч асуудал гардаггүй, учир нь тэдгээрийг серверээс үйлчлүүлэгчид нийлүүлдэг бөгөөд энэ нь өөрөө өөрийн гэрчилгээгээ илүү олон удаа өөрчилдөг тул энэ процесст завсрын гэрчилгээг орлуулдаг. Үндсэн CA сертификатаас ялгаатай нь үүнийг серверийн гэрчилгээтэй хамт солих нь маш хялбар юм.
Өмнө дурьдсанчлан, үндсэн CA нь үйлчлүүлэгчийн төхөөрөмжид, үйлдлийн систем, хөтөч эсвэл бусад програм хангамжид шууд суурилагдсан байдаг. Үндсэн CA-г өөрчлөх нь вэб сайтын хяналтаас гадуур юм. Энэ нь үйлдлийн систем эсвэл програм хангамжийн шинэчлэлт байгаа эсэхээс үл хамааран үйлчлүүлэгчийн шинэчлэлтийг шаарддаг.
Зарим эх CA нь маш удаан хугацаанд бий болсон, бид 20-25 жилийн тухай ярьж байна. Удахгүй хамгийн эртний эх CA-уудын зарим нь байгалийн амьдралынхаа төгсгөлд ойртох болно, тэдний хугацаа бараг дуусч байна. Бидний ихэнх нь CA-ууд шинэ эх сертификатуудыг үүсгэсэн бөгөөд олон жилийн турш үйлдлийн систем болон хөтчийн шинэчлэлтүүдээр дэлхий даяар тархсан тул энэ нь огтхон ч асуудал биш байх болно. Гэхдээ хэрэв хэн нэгэн нь маш удаан хугацаанд үйлдлийн систем эсвэл хөтөчөө шинэчлээгүй бол энэ нь нэг төрлийн асуудал юм.
Энэ байдал 30 оны тавдугаар сарын 2020-ны 10:48:38 цагт болсон. Энэ бол яг хэзээ юм Comodo гэрчилгээжүүлэх газраас (Sectigo).
Дэлгүүрт нь шинэ USERTrust эх гэрчилгээ байхгүй хуучин төхөөрөмжүүдтэй нийцтэй байдлыг хангах үүднээс хөндлөн гарын үсэг зурахад ашигласан.
Харамсалтай нь зөвхөн хуучин хөтчүүдэд төдийгүй OpenSSL 1.0.x, LibreSSL болон хөтчийн бус үйлчлүүлэгчдэд асуудал үүссэн. . Жишээлбэл, дээд хайрцагт , үйлчилгээ , Fortinet-д Chargify програмууд, Линуксийн .NET Core 2.0 платформ дээр болон .
Орчин үеийн хөтчүүд USERTRust хоёр дахь эх гэрчилгээг ашиглах боломжтой тул асуудал нь зөвхөн хуучин системд (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 гэх мэт) нөлөөлнө гэж таамаглаж байсан. Гэвч үнэн хэрэгтээ үнэгүй OpenSSL 1.0.x болон GnuTLS сангуудыг ашигладаг олон зуун вэб үйлчилгээнд алдаа гарсан. Сертификат хуучирсан гэсэн алдааны мэдэгдлээр аюулгүй холболтыг цаашид тогтоох боломжгүй болсон.
Дараа нь - Шифрлэцгээе
Удахгүй болох үндсэн CA өөрчлөлтийн өөр нэг сайн жишээ бол Let's Encrypt сертификатын байгууллага юм. Илүү тэд Identrust сүлжээнээс өөрсдийн ISRG Root сүлжээ рүү шилжихээр төлөвлөж байсан ч энэ .
"Android төхөөрөмж дээр ISRG root-г нэвтрүүлэхгүй байна гэсэн болгоомжлолын улмаас бид эх үндэс шилжих огноог 8 оны 2019-р сарын 8-наас 2020 оны XNUMX-р сарын XNUMX хүртэл шилжүүлэхээр шийдсэн" гэж Let's Encrypt мэдэгдэлд дурджээ.
Үндэс CA нь бүх үйлчлүүлэгчдэд тийм ч өргөн тархаагүй байх үед "үндэс тархалт" гэж нэрлэгддэг асуудлын улмаас, эсвэл бүр тодорхой хэлбэл, үндэс үржүүлгийн дутагдалтай байсан тул огноог хойшлуулах шаардлагатай болсон.
Let's Encrypt нь одоогоор IdenTrust DST Root CA X3-д гинжлэгдсэн хөндлөн гарын үсэг бүхий завсрын гэрчилгээг ашиглаж байна. Энэхүү эх гэрчилгээг 2000 оны 30-р сард буцааж олгосон бөгөөд 2021 оны 1-р сарын XNUMX-ны өдөр дуусна. Тэр болтол Let's Encrypt нь өөрийн гарын үсэг бүхий ISRG Root XXNUMX рүү шилжихээр төлөвлөж байна.
ISRG root 4 оны 2015-р сарын XNUMX-нд гарсан. Үүний дараа түүнийг баталгаажуулалтын байгууллага болгон батлах үйл явц эхэлсэн бөгөөд энэ нь дууссан . Энэ үеэс эхлэн үндсэн CA нь үйлдлийн систем эсвэл програм хангамжийн шинэчлэлээр дамжуулан бүх үйлчлүүлэгчдэд боломжтой болсон. Таны хийх ёстой зүйл бол шинэчлэлтийг суулгах явдал байв.
Гэхдээ энэ л асуудал.
Хэрэв таны гар утас, зурагт эсвэл бусад төхөөрөмж хоёр жилийн турш шинэчлэгдээгүй бол ISRG Root X1 эх гэрчилгээний талаар яаж мэдэх вэ? Хэрэв та үүнийг системд суулгаагүй бол Let's Encrypt програмыг шинэ үндэс рүү шилжүүлэнгүүт таны төхөөрөмж бүх Let's Encrypt серверийн гэрчилгээг хүчингүй болгоно. Андройдын экосистемд удаан хугацаанд шинэчлэгдээгүй олон хуучирсан төхөөрөмжүүд байдаг.
Android экосистем
Ийм учраас Let's Encrypt нь өөрийн ISRG язгуур руу шилжихийг хойшлуулсан бөгөөд IdenTrust үндэс рүү шилжих завсрын хувилбарыг ашигласаар байна. Гэхдээ ямар ч тохиолдолд шилжилтийг хийх ёстой. Мөн үндсэн өөрчлөлтийн огноог зааж өгсөн болно .
ISRG X1 root төхөөрөмж дээрээ суулгасан эсэхийг шалгахын тулд (ТВ, дээд хайрцаг эсвэл бусад үйлчлүүлэгч) туршилтын сайтыг нээнэ үү. . Хэрэв аюулгүй байдлын анхааруулга гарч ирэхгүй бол бүх зүйл хэвийн байна.
Let's Encrypt нь шинэ үндэс рүү шилжих сорилттой тулгарсан цорын ганц зүйл биш юм. Интернет дэх криптографийг 20 гаруй жилийн өмнөөс ашиглаж эхэлсэн тул одоо олон эх гэрчилгээний хугацаа дуусах дөхөж байна.
Ухаалаг ТВ-ийн программ хангамжийг олон жил шинэчлээгүй ухаалаг ТВ-ийн эзэд ийм асуудалтай тулгарч магадгүй юм. Жишээлбэл, шинэ GlobalSign үндэс нь 2012 онд гарсан бөгөөд зарим хуучин Smart TV-ууд үүнтэй холбогдож чадахгүй, учир нь тэдэнд ийм үндсэн CA байхгүй. Ялангуяа эдгээр үйлчлүүлэгчид bbc.co.uk вэб сайттай аюулгүй холболт үүсгэж чадаагүй байна. Асуудлыг шийдэхийн тулд BBC-ийн администраторууд заль мэх хийх хэрэгтэй болсон: тэд хуучин үндэс ашиглан нэмэлт завсрын гэрчилгээгээр дамжуулан и , одоохондоо ялзарч амжаагүй байгаа.
www.bbc.co.uk (Навч) GlobalSign ECC OV SSL CA 2018 (Дунд) GlobalSign Root CA - R5 (Дунд) GlobalSign Root CA - R3 (Дунд)
Энэ бол түр зуурын шийдэл юм. Үйлчлүүлэгчийн программ хангамжийг шинэчлэхгүй бол асуудал арилахгүй. Ухаалаг ТВ нь үндсэндээ Линукс дээр ажилладаг хязгаарлагдмал ажиллагаатай компьютер юм. Мөн шинэчлэлт хийхгүй бол түүний үндсэн гэрчилгээ нь ялзарч магадгүй юм.
Энэ нь зөвхөн зурагт гэлтгүй бүх төхөөрөмжид хамаарна. Хэрэв танд интернетэд холбогдсон, "ухаалаг" төхөөрөмж гэж сурталчилсан төхөөрөмж байгаа бол ялзарсан гэрчилгээтэй холбоотой асуудал бараг л үүнд хамаатай. Хэрэв төхөөрөмж шинэчлэгдээгүй бол үндсэн CA дэлгүүр цаг хугацааны явцад хуучирч, эцэст нь асуудал гарч ирнэ. Асуудал хэр хурдан гарах нь эх дэлгүүрийг хамгийн сүүлд хэзээ шинэчилсэнээс хамаарна. Энэ нь төхөөрөмжийн бодит худалдаанд гарах өдрөөс хэдэн жилийн өмнө байж болно.
Дашрамд хэлэхэд энэ нь зарим томоохон медиа платформууд Let's Encrypt гэх мэт орчин үеийн автоматжуулсан гэрчилгээний байгууллагуудыг ашиглаж чадахгүй байгаа асуудал юм гэж Скотт Хелме бичжээ. Эдгээр нь ухаалаг ТВ-д тохиромжгүй бөгөөд язгуурын тоо нь хуучин төхөөрөмжүүдийн гэрчилгээний дэмжлэгийг баталгаажуулахад хэтэрхий бага байна. Үгүй бол ТВ орчин үеийн стриминг үйлчилгээг эхлүүлэх боломжгүй болно.
AddTrust-тай хийсэн хамгийн сүүлийн тохиолдол нь мэдээллийн технологийн томоохон компаниуд ч эх гэрчилгээний хугацаа дуусахад бэлэн биш байгааг харуулж байна.
Асуудлыг шийдэх цорын ганц шийдэл байдаг - шинэчлэлт. Ухаалаг төхөөрөмж хөгжүүлэгчид програм хангамж, эх гэрчилгээг шинэчлэх механизмыг урьдчилан хангах ёстой. Нөгөөтэйгүүр, баталгаат хугацаа дууссаны дараа төхөөрөмжийнхөө ажиллагааг хангах нь үйлдвэрлэгчдэд ашиггүй юм.
Эх сурвалж: www.habr.com