30-р сарын 17-ны өдөр Москвагийн цагаар 01:3 цагт IdenTrust эх гэрчилгээ (DST Root CA X1) нь олон нийтийн хяналтанд байдаг Let's Encrypt баталгаажуулалтын байгууллагын (ISRG Root XXNUMX) үндсэн гэрчилгээнд гарын үсэг зурахад ашигласан. гэрчилгээг хүн бүрт үнэ төлбөргүй олгодог, хугацаа нь дуусна. Хөндлөн гарын үсэг зурснаар Let's Encrypt гэрчилгээг олон төрлийн төхөөрөмж, үйлдлийн систем, хөтчүүдэд итгэмжлэх боломжтой болсон бол Let's Encrypt-ийн өөрийн үндсэн гэрчилгээг үндсэн сертификатын дэлгүүрт нэгтгэсэн.
DST Root CA X3-ыг цуцалсны дараа "Шифрлэе" төсөл нь зөвхөн өөрийн үндсэн гэрчилгээг ашиглан гарын үсэг үүсгэх горимд шилжинэ гэж анх төлөвлөж байсан боловч ийм алхам хийгдээгүй олон тооны хуучин системүүдтэй нийцтэй байдал алдагдах болно. "Шифрлэцгээе" эх сертификатыг хадгалах газартаа нэмнэ үү. Тодруулбал, ашиглагдаж буй Android төхөөрөмжүүдийн 30 орчим хувь нь 7.1.1 оны сүүлээр гарсан Android 2016 платформоос эхлэн дэмжлэг үзүүлж эхэлсэн Let's Encrypt root сертификатын мэдээлэлгүй байна.
Гэрээнд оролцогч талуудад нэмэлт хариуцлага хүлээлгэж, бие даасан байдлыг нь хасаж, өөр баталгаажуулалтын байгууллагын бүх журам, дүрмийг дагаж мөрддөг тул Let's Encrypt шинэ гарын үсэг зурах гэрээ байгуулахаар төлөвлөөгүй байна. Гэвч олон тооны Android төхөөрөмжид гарч болзошгүй асуудлуудын улмаас төлөвлөгөөг шинэчилсэн. IdenTrust гэрчилгээжүүлэх байгууллагатай шинэ гэрээ байгуулж, үүний хүрээнд өөр хөндлөн гарын үсэг бүхий Let's Encrypt завсрын гэрчилгээг бий болгосон. Хөндлөн гарын үсэг нь гурван жилийн хугацаанд хүчинтэй байх бөгөөд 2.3.6 хувилбараас эхлэн Android төхөөрөмжүүдийг дэмжих болно.
Гэсэн хэдий ч шинэ завсрын гэрчилгээ нь бусад олон хуучин системийг хамардаггүй. Жишээлбэл, 3-р сарын 30-нд DST Root CA X1 гэрчилгээ хүчингүй болох үед Let's Encrypt сертификатуудыг баталгаажуулахын тулд ISRG Root XXNUMX гэрчилгээг үндсэн сертификатын дэлгүүрт гараар нэмэх шаардлагатай дэмждэггүй програм хангамж болон үйлдлийн системүүд дээр цаашид хүлээн авахгүй. . Асуудал нь дараахь байдлаар илэрдэг.
- OpenSSL хүртэл салбар 1.0.2 (салбар 1.0.2-ын засвар үйлчилгээ 2019 оны XNUMX-р сард зогссон);
- NSS <3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian <8.
OpenSSL 1.0.2-ын хувьд, бусад хүчинтэй итгэлцлийн хэлхээ хэвээр байсан ч гарын үсэг зурахад ашигласан үндсэн сертификатуудын аль нэгнийх нь хугацаа дууссан тохиолдолд хөндлөн гарын үсэг зурсан гэрчилгээг зөв боловсруулахаас сэргийлдэг алдаанаас болж асуудал үүсдэг. Энэ асуудал өнгөрсөн жил Sectigo (Comodo) гэрчилгээжүүлэлтийн байгууллагаас авсан гэрчилгээнд гарын үсэг зурахад ашигладаг AddTrust гэрчилгээ хуучирсны дараа үүссэн. Асуудлын гол зүйл бол OpenSSL нь сертификатыг шугаман хэлхээ болгон задлан шинжилдэг бол RFC 4158-ийн дагуу гэрчилгээ нь анхааралдаа авах шаардлагатай олон итгэлцлийн зангуу бүхий чиглүүлсэн тархсан дугуй графикийг төлөөлдөг.
OpenSSL 1.0.2 дээр суурилсан хуучин түгээлтийн хэрэглэгчдэд асуудлыг шийдвэрлэх гурван арга замыг санал болгож байна:
- IdenTrust DST Root CA X3 эх гэрчилгээг гараар устгаж, бие даасан (загалмайн гарын үсэг зураагүй) ISRG Root X1 эх гэрчилгээг суулгасан.
- openssl verify болон s_client командуудыг ажиллуулахдаа "--trusted_first" сонголтыг зааж өгч болно.
- Хөндлөн гарын үсэггүй SRG Root X1 тусдаа эх сертификатаар баталгаажсан гэрчилгээг сервер дээр ашиглана уу. Энэ арга нь хуучин Android үйлчлүүлэгчидтэй нийцэхгүй байх болно.
Нэмж дурдахад, "Шифрлэе" төсөл нь хоёр тэрбум гэрчилгээ бий болгосон чухал үеийг даван туулсан гэдгийг бид тэмдэглэж болно. Өнгөрсөн оны хоёрдугаар сард нэг тэрбумын амжилтад хүрсэн. Өдөр бүр 2.2-2.4 сая шинэ гэрчилгээ бий болдог. Идэвхтэй гэрчилгээний тоо 192 сая (сертификат нь гурван сарын хугацаанд хүчинтэй) бөгөөд ойролцоогоор 260 сая домайныг хамардаг (195 сая домайн жилийн өмнө, хоёр жилийн өмнө 150 сая, гурван жилийн өмнө 60 сая домайн хамрагдсан). Firefox Telemetry үйлчилгээний статистик мэдээгээр HTTPS-ээр дамжуулан хуудасны хүсэлтийн дэлхийн эзлэх хувь 82% (жилийн өмнө - 81%, хоёр жилийн өмнө - 77%, гурван жилийн өмнө - 69%, дөрвөн жилийн өмнө - 58%) байна.
Эх сурвалж: opennet.ru