Untuk penyemak imbas untuk mengesahkan tapak web, ia memaparkan dirinya dengan rantaian sijil yang sah. Rantaian biasa ditunjukkan di atas, dan mungkin terdapat lebih daripada satu sijil perantaraan. Bilangan minimum sijil dalam rantaian yang sah ialah tiga.
Sijil akar adalah nadi pihak berkuasa sijil. Ia benar-benar terbina dalam OS atau penyemak imbas anda, ia hadir secara fizikal pada peranti anda. Ia tidak boleh diubah dari sisi pelayan. Kemas kini paksa OS atau perisian tegar pada peranti diperlukan.
Pakar Keselamatan Scott Helme , bahawa masalah utama akan timbul dengan pihak berkuasa pensijilan Let's Encrypt, kerana hari ini ia adalah CA paling popular di Internet, dan sijil akarnya akan menjadi buruk tidak lama lagi. Menukar akar Let's Encrypt .
Sijil akhir dan perantaraan pihak berkuasa pensijilan (CA) dihantar kepada pelanggan dari pelayan, dan sijil akar adalah daripada klien telah pun, jadi dengan koleksi sijil ini seseorang boleh membina rantaian dan mengesahkan tapak web.
Masalahnya ialah setiap sijil mempunyai tarikh tamat tempoh, selepas itu ia perlu diganti. Contohnya, mulai 1 September 2020, mereka merancang untuk memperkenalkan pengehadan pada tempoh sah sijil TLS pelayan dalam penyemak imbas Safari .
Ini bermakna kami semua perlu menggantikan sijil pelayan kami sekurang-kurangnya setiap 12 bulan. Sekatan ini hanya terpakai pada sijil pelayan; ia tiada terpakai kepada sijil CA akar.
Sijil CA dikawal oleh set peraturan yang berbeza dan oleh itu mempunyai had kesahan yang berbeza. Ia adalah perkara biasa untuk mencari sijil perantaraan dengan tempoh sah selama 5 tahun dan sijil akar dengan hayat perkhidmatan walaupun 25 tahun!
Biasanya tiada masalah dengan sijil perantaraan, kerana ia dibekalkan kepada pelanggan oleh pelayan, yang dengan sendirinya menukar sijilnya sendiri dengan lebih kerap, jadi ia hanya menggantikan sijil perantaraan dalam proses. Ia agak mudah untuk menggantikannya bersama-sama dengan sijil pelayan, tidak seperti sijil CA akar.
Seperti yang telah kami katakan, akar CA dibina terus ke dalam peranti klien itu sendiri, ke dalam OS, penyemak imbas atau perisian lain. Menukar CA akar adalah di luar kawalan tapak web. Ini memerlukan kemas kini pada klien, sama ada OS atau kemas kini perisian.
Sesetengah CA akar telah wujud untuk masa yang sangat lama, kita bercakap tentang 20-25 tahun. Tidak lama lagi beberapa CA akar tertua akan menghampiri penghujung hayat semula jadi mereka, masa mereka hampir tamat. Bagi kebanyakan daripada kita ini tidak akan menjadi masalah sama sekali kerana CA telah mencipta sijil akar baharu dan mereka telah diedarkan ke seluruh dunia dalam kemas kini OS dan penyemak imbas selama bertahun-tahun. Tetapi jika seseorang tidak mengemas kini OS atau penyemak imbas mereka dalam masa yang sangat lama, ia adalah masalah.
Keadaan ini berlaku pada 30 Mei 2020 pada 10:48:38 GMT. Ini adalah masa yang tepat apabila daripada pihak berkuasa pensijilan Comodo (Sectigo).
Ia digunakan untuk menandatangani silang bagi memastikan keserasian dengan peranti lama yang tidak mempunyai sijil akar USERTrust baharu dalam stor mereka.
Malangnya, masalah timbul bukan sahaja dalam penyemak imbas lama, tetapi juga dalam pelanggan bukan penyemak imbas berdasarkan OpenSSL 1.0.x, LibreSSL dan . Contohnya, dalam kotak set-top , perkhidmatan , dalam Fortinet, aplikasi Chargify, pada platform .NET Core 2.0 untuk Linux dan .
Diandaikan bahawa masalah itu hanya akan menjejaskan sistem warisan (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, dll.), memandangkan pelayar moden boleh menggunakan sijil akar USERTRust kedua. Tetapi sebenarnya, kegagalan bermula dalam beratus-ratus perkhidmatan web yang menggunakan perpustakaan OpenSSL 1.0.x dan GnuTLS percuma. Sambungan selamat tidak lagi dapat diwujudkan dengan mesej ralat yang menunjukkan bahawa sijil itu sudah lapuk.
Seterusnya - Mari Sulitkan
Satu lagi contoh baik perubahan CA akar yang akan datang ialah pihak berkuasa sijil Let's Encrypt. Lagi mereka merancang untuk menukar daripada rantaian Identrust kepada rantaian Root ISRG mereka sendiri, tetapi ini .
"Disebabkan kebimbangan mengenai kekurangan penggunaan akar ISRG pada peranti Android, kami telah memutuskan untuk memindahkan tarikh peralihan akar asli dari 8 Julai 2019 kepada 8 Julai 2020," kata Let's Encrypt dalam satu kenyataan.
Tarikh tersebut terpaksa ditangguhkan kerana masalah yang dipanggil "penyebaran akar", atau lebih tepat lagi, kekurangan penyebaran akar, apabila CA akar tidak diedarkan secara meluas di semua pelanggan.
Let's Encrypt pada masa ini menggunakan sijil perantara yang ditandatangani silang yang dirantai pada IdenTrust DST Root CA X3. Sijil akar ini telah dikeluarkan pada September 2000 dan tamat tempoh pada 30 September 2021. Sehingga itu, Let's Encrypt merancang untuk berhijrah ke ISRG Root X1 yang ditandatangani sendiri.
Akar ISRG dikeluarkan pada 4 Jun 2015. Selepas ini, proses kelulusannya sebagai pihak berkuasa pensijilan bermula, yang berakhir . Mulai saat ini, akar CA tersedia untuk semua pelanggan melalui sistem pengendalian atau kemas kini perisian. Apa yang anda perlu lakukan ialah memasang kemas kini.
Tetapi itulah masalahnya.
Jika telefon bimbit, TV atau peranti lain anda tidak dikemas kini selama dua tahun, bagaimanakah ia akan mengetahui tentang sijil akar ISRG Root X1 baharu? Dan jika anda tidak memasangnya pada sistem, maka peranti anda akan membatalkan semua sijil pelayan Let's Encrypt sebaik sahaja Let's Encrypt bertukar kepada root baharu. Dan dalam ekosistem Android terdapat banyak peranti lapuk yang tidak dikemas kini untuk masa yang lama.
Ekosistem Android
Inilah sebab mengapa Let's Encrypt ditangguhkan berpindah ke akar ISRGnya sendiri dan masih menggunakan perantaraan yang turun ke akar IdenTrust. Tetapi peralihan itu perlu dibuat dalam apa jua keadaan. Dan tarikh perubahan akar ditetapkan .
Untuk memastikan bahawa akar ISRG X1 dipasang pada peranti anda (TV, set-top box atau klien lain), buka tapak ujian . Jika tiada amaran keselamatan muncul, maka semuanya biasanya baik-baik saja.
Let's Encrypt bukanlah satu-satunya yang menghadapi cabaran untuk berhijrah ke akar baharu. Kriptografi di Internet mula digunakan lebih sedikit 20 tahun yang lalu, jadi sekarang adalah masa apabila banyak sijil akar akan tamat tempoh.
Pemilik TV pintar yang tidak mengemas kini perisian TV Pintar selama bertahun-tahun mungkin menghadapi masalah ini. Contohnya, akar GlobalSign baharu telah dikeluarkan pada tahun 2012, dan selepas beberapa TV Pintar lama tidak dapat membina rangkaian padanya, kerana mereka tidak mempunyai CA akar ini. Khususnya, pelanggan ini tidak dapat mewujudkan sambungan selamat ke tapak web bbc.co.uk. Untuk menyelesaikan masalah itu, pentadbir BBC terpaksa menggunakan helah: mereka melalui sijil perantaraan tambahan, menggunakan akar lama ΠΈ , yang masih belum busuk.
www.bbc.co.uk (Daun) GlobalSign ECC OV SSL CA 2018 (Pertengahan) GlobalSign Root CA - R5 (Pertengahan) GlobalSign Root CA - R3 (Pertengahan)
Ini adalah penyelesaian sementara. Masalahnya tidak akan hilang melainkan anda mengemas kini perisian klien. TV pintar pada asasnya ialah komputer dengan fungsi terhad yang menjalankan Linux. Dan tanpa kemas kini, sijil akarnya pasti akan menjadi busuk.
Ini terpakai pada semua peranti, bukan hanya TV. Jika anda mempunyai sebarang peranti yang disambungkan ke Internet dan yang diiklankan sebagai peranti "pintar", maka masalah dengan sijil busuk hampir pasti melibatkannya. Jika peranti tidak dikemas kini, stor CA akar akan menjadi lapuk dari semasa ke semasa dan akhirnya masalah akan muncul. Berapa lama masalah itu berlaku bergantung pada bila kedai akar dikemas kini. Ini mungkin beberapa tahun sebelum tarikh keluaran sebenar peranti.
By the way, inilah masalah mengapa sesetengah platform media besar tidak boleh menggunakan pihak berkuasa sijil automatik moden seperti Let's Encrypt, tulis Scott Helme. Ia tidak sesuai untuk TV pintar, dan bilangan akar terlalu kecil untuk menjamin sokongan sijil pada peranti lama. Jika tidak, TV tidak akan dapat melancarkan perkhidmatan penstriman moden.
Insiden terbaru dengan AddTrust menunjukkan bahawa walaupun syarikat IT yang besar tidak bersedia untuk fakta bahawa sijil akar tamat tempoh.
Terdapat hanya satu penyelesaian kepada masalah - kemas kini. Pembangun peranti pintar mesti menyediakan mekanisme untuk mengemas kini perisian dan sijil akar terlebih dahulu. Sebaliknya, adalah tidak menguntungkan bagi pengeluar untuk memastikan operasi peranti mereka selepas tempoh jaminan tamat.
Sumber: www.habr.com