Biex browser jawtentika websajt, jippreżenta ruħu b'katina ta' ċertifikat valida. Katina tipika tidher hawn fuq, u jista 'jkun hemm aktar minn ċertifikat intermedju wieħed. In-numru minimu ta' ċertifikati f'katina valida huwa tlieta.
Iċ-ċertifikat ta 'l-għeruq huwa l-qalba ta' l-awtorità taċ-ċertifikat. Huwa litteralment mibni fis-OS jew fil-brawżer tiegħek, huwa fiżikament preżenti fuq it-tagħmir tiegħek. Ma jistax jinbidel min-naħa tas-server. Huwa meħtieġ aġġornament sfurzat tal-OS jew tal-firmware fuq l-apparat.
L-Ispeċjalista tas-Sigurtà Scott Helme , li l-problemi ewlenin se jinqalgħu bl-awtorità ta 'ċertifikazzjoni Let's Encrypt, għaliex illum hija l-aktar CA popolari fuq l-Internet, u ċ-ċertifikat ta' l-għeruq tiegħu dalwaqt se jmur ħażin. Nibdlu l-għerq Let's Encrypt .
Iċ-ċertifikati finali u intermedji tal-awtorità taċ-ċertifikazzjoni (CA) huma kkunsinnati lill-klijent mis-server, u ċ-ċertifikat tal-għeruq huwa mill-klijent diġà għandhom, allura b’din il-ġabra ta’ ċertifikati wieħed jista’ jibni katina u jawtentika websajt.
Il-problema hija li kull ċertifikat għandu data ta 'skadenza, li warajha jeħtieġ li jiġi sostitwit. Pereżempju, mill-1 ta’ Settembru 2020, qed jippjanaw li jintroduċu limitazzjoni fuq il-perjodu ta’ validità taċ-ċertifikati TLS tas-server fil-browser Safari .
Dan ifisser li lkoll se jkollna nissostitwixxu ċ-ċertifikati tas-server tagħna mill-inqas kull 12-il xahar. Din ir-restrizzjoni tapplika biss għaċ-ċertifikati tas-server; it ebda japplika għaċ-ċertifikati CA root.
Iċ-ċertifikati CA huma rregolati minn sett differenti ta' regoli u għalhekk għandhom limiti ta' validità differenti. Huwa komuni ħafna li ssib ċertifikati intermedji b'perjodu ta 'validità ta' 5 snin u ċertifikati ta 'l-għeruq b'ħajja ta' servizz ta 'anke 25 sena!
Normalment ma jkun hemm l-ebda problemi biċ-ċertifikati intermedji, minħabba li huma fornuti lill-klijent mis-server, li huwa stess jibdel iċ-ċertifikat tiegħu stess ħafna aktar spiss, għalhekk sempliċement jissostitwixxi dak intermedju fil-proċess. Huwa pjuttost faċli li tissostitwiha flimkien maċ-ċertifikat tas-server, b'differenza mill-għerq taċ-ċertifikat CA.
Kif diġà għedna, l-għerq CA huwa mibni direttament fl-apparat tal-klijent innifsu, fl-OS, browser jew softwer ieħor. It-tibdil tal-għerq CA huwa lil hinn mill-kontroll tal-websajt. Dan jeħtieġ aġġornament fuq il-klijent, kemm jekk ikun OS jew aġġornament tas-softwer.
Xi għeruq CAs ilhom għal żmien twil ħafna, qed nitkellmu dwar 20-25 sena. Dalwaqt uħud mill-eqdem CAs għerq se jersqu lejn it-tmiem tal-ħajja naturali tagħhom, il-ħin tagħhom huwa kważi sa. Għal ħafna minna din ma tkun problema xejn minħabba li l-CAs ħolqu ċertifikati tal-għeruq ġodda u ġew imqassma madwar id-dinja f'aġġornamenti tal-OS u tal-browser għal ħafna snin. Imma jekk xi ħadd ma aġġornax l-OS jew il-browser tiegħu fi żmien twil ħafna, hija tip ta 'problema.
Din is-sitwazzjoni seħħet fit-30 ta’ Mejju 2020 fl-10:48:38 GMT. Dan huwa l-ħin eżatt meta mill-awtorità taċ-ċertifikazzjoni tal-Comodo (Sectigo).
Intuża għall-iffirmar inkroċjat biex tiġi żgurata l-kompatibilità ma 'apparati tal-wirt li m'għandhomx iċ-ċertifikat ġdid tal-għeruq USERTrust fil-maħżen tagħhom.
Sfortunatament, inqalgħu problemi mhux biss fil-browsers legacy, iżda wkoll fi klijenti mhux tal-browser ibbażati fuq OpenSSL 1.0.x, LibreSSL u . Per eżempju, f'set-top boxes , servizz , f'Fortinet, Chargify applikazzjonijiet, fuq il-pjattaforma .NET Core 2.0 għal Linux u .
Ġie preżunt li l-problema taffettwa biss is-sistemi tal-wirt (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, eċċ.), peress li l-browsers moderni jistgħu jużaw it-tieni ċertifikat tal-għeruq USERTRust. Iżda fil-fatt, fallimenti bdew f'mijiet ta 'servizzi tal-web li użaw il-libreriji OpenSSL 1.0.x u GnuTLS b'xejn. Konnessjoni sigura ma setgħetx tiġi stabbilita aktar b'messaġġ ta' żball li jindika li ċ-ċertifikat kien skadut.
Li jmiss - Ejja Encrypt
Eżempju tajjeb ieħor tal-bidla li jmiss tal-għeruq tas-CA hija l-awtorità taċ-ċertifikat Let's Encrypt. Aktar ippjanaw li jaqilbu mill-katina Identrust għall-katina tal-Għerq ISRG tagħhom stess, iżda dan .
"Minħabba tħassib dwar in-nuqqas ta 'adozzjoni ta' l-għerq ISRG fuq apparat Android, iddeċidejna li nimxu d-data ta 'tranżizzjoni ta' l-għerq indiġeni mit-8 ta 'Lulju 2019 sat-8 ta' Lulju 2020," qal Let's Encrypt fi stqarrija.
Id-data kellha tiġi posposta minħabba problema msejħa "propagazzjoni ta 'l-għeruq", jew aktar preċiżament, in-nuqqas ta' propagazzjoni ta 'l-għeruq, meta l-CA għerq ma jkunx imqassam ħafna fil-klijenti kollha.
Let's Encrypt bħalissa juża ċertifikat intermedju ffirmat b'katina mal-IdenTrust DST Root CA X3. Dan iċ-ċertifikat tal-għeruq inħareġ lura f'Settembru 2000 u jiskadi fit-30 ta' Settembru 2021. Sa dakinhar, Let's Encrypt qed tippjana li temigra lejn ISRG Root X1 iffirmat minnha stess.
Għerq ISRG rilaxxat fl-4 ta 'Ġunju 2015. Wara dan, beda l-proċess tal-approvazzjoni tagħha bħala awtorità taċ-ċertifikazzjoni, li spiċċa . Minn dan il-punt 'il quddiem, l-għerq CA kien disponibbli għall-klijenti kollha permezz ta' sistema operattiva jew aġġornament tas-softwer. Kulma kellek tagħmel kien li tinstalla l-aġġornament.
Imma dik hija l-problema.
Jekk il-mowbajl, it-TV jew apparat ieħor tiegħek ma ġiex aġġornat għal sentejn, kif se jkun jaf dwar iċ-ċertifikat tal-għeruq ISRG Root X1 il-ġdid? U jekk ma tinstallahiex fis-sistema, allura t-tagħmir tiegħek jinvalida ċ-ċertifikati kollha tas-server Let's Encrypt hekk kif Let's Encrypt jaqilbu għal għerq ġdid. U fl-ekosistema Android hemm ħafna apparati skaduti li ma ġewx aġġornati għal żmien twil.
Ekosistema Android
Din hija r-raġuni għaliex Let's Encrypt ittardjat biex tiċċaqlaq għall-għerq ISRG tagħha stess u għadha tuża intermedjarju li jinżel għall-għerq IdenTrust. Iżda t-tranżizzjoni trid issir fi kwalunkwe każ. U d-data tal-bidla tal-għeruq hija assenjata .
Biex tivverifika li ISRG X1 root huwa installat fuq it-tagħmir tiegħek (TV, set-top box jew klijent ieħor), iftaħ is-sit tat-test . Jekk ma tidher l-ebda twissija tas-sigurtà, allura kollox ġeneralment ikun tajjeb.
Let's Encrypt mhix l-unika waħda li qed tiffaċċja l-isfida tal-migrazzjoni għal għerq ġdid. Il-kriptografija fuq l-Internet bdiet tintuża ftit aktar minn 20 sena ilu, għalhekk issa huwa ż-żmien meta bosta ċertifikati tal-għeruq waslu biex jiskadu.
Sidien ta' smart TVs li ma aġġornawx is-softwer Smart TV għal ħafna snin jistgħu jiltaqgħu ma' din il-problema. Per eżempju, l-għerq GlobalSign ġdid ġie rilaxxat fl-2012, u wara xi Smart TVs qodma ma jistgħux jibnu katina għaliha, minħabba li sempliċement m'għandhomx dan l-għerq CA. B'mod partikolari, dawn il-klijenti ma setgħux jistabbilixxu konnessjoni sigura mal-websajt bbc.co.uk. Biex isolvu l-problema, l-amministraturi tal-BBC kellhom jirrikorru għal trick: huma permezz ta’ ċertifikati intermedji addizzjonali, bl-użu ta’ għeruq qodma и , li għadhom ma marrux immuffati.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Intermedju) GlobalSign Root CA - R5 (Intermedju) GlobalSign Root CA - R3 (Intermedju)
Din hija soluzzjoni temporanja. Il-problema mhux se titlaq sakemm ma taġġornax is-softwer tal-klijent. Televiżjoni intelliġenti hija essenzjalment kompjuter b'funzjonalità limitata li jħaddem Linux. U mingħajr aġġornamenti, iċ-ċertifikati ta 'l-għeruq tiegħu inevitabbilment isiru immuffati.
Dan japplika għall-apparati kollha, mhux biss għat-televiżjonijiet. Jekk għandek xi apparat li huwa konness mal-Internet u li ġie reklamat bħala apparat "intelliġenti", allura l-problema taċ-ċertifikati immuffati kważi ċertament tikkonċernaha. Jekk l-apparat ma jiġix aġġornat, il-maħżen CA għerq isir skadut maż-żmien u eventwalment il-problema toħroġ. Kemm isseħħ il-problema jiddependi fuq meta l-maħżen tal-għeruq ġie aġġornat l-aħħar. Dan jista 'jkun bosta snin qabel id-data attwali tar-rilaxx tal-apparat.
Mill-mod, din hija l-problema għaliex xi pjattaformi kbar tal-midja ma jistgħux jużaw awtoritajiet moderni taċ-ċertifikati awtomatizzati bħal Let's Encrypt, jikteb Scott Helme. Mhumiex adattati għal televiżjonijiet intelliġenti, u n-numru ta 'għeruq huwa żgħir wisq biex jiggarantixxi l-appoġġ taċ-ċertifikat fuq apparati legacy. Inkella, it-TV sempliċement ma jkunx jista 'jniedi servizzi ta' streaming moderni.
L-aħħar inċident ma 'AddTrust wera li anke kumpaniji kbar tal-IT mhumiex ippreparati għall-fatt li ċ-ċertifikat tal-għeruq jiskadi.
Hemm soluzzjoni waħda biss għall-problema - aġġornament. L-iżviluppaturi ta 'tagħmir intelliġenti għandhom jipprovdu mekkaniżmu għall-aġġornament tas-softwer u ċ-ċertifikati tal-għeruq minn qabel. Min-naħa l-oħra, mhuwiex profittabbli għall-manifatturi li jiżguraw it-tħaddim tal-apparat tagħhom wara li jiskadi l-perjodu tal-garanzija.
Sors: www.habr.com