Fit-30 ta 'Settembru f'17:01 ħin ta' Moska, iċ-ċertifikat ta 'l-għerq IdenTrust (DST Root CA X3), li ntuża biex jiffirma ċ-ċertifikat ta' l-għerq ta 'l-awtorità ta' ċertifikazzjoni Let's Encrypt (ISRG Root X1), li huwa kkontrollat mill-komunità u jipprovdi ċertifikati mingħajr ħlas lil kulħadd, jiskadi. L-iffirmar inkroċjat żgura li ċ-ċertifikati Let's Encrypt kienu fdati fuq firxa wiesgħa ta 'apparati, sistemi operattivi, u browsers filwaqt li ċ-ċertifikat tal-għeruq ta' Let's Encrypt kien integrat fil-ħwienet taċ-ċertifikati tal-għeruq.
Oriġinarjament kien ippjanat li wara t-tneħħija tad-DST Root CA X3, il-proġett Let's Encrypt jaqleb biex jiġġenera firem bl-użu biss taċ-ċertifikat ta 'l-għeruq tiegħu, iżda mossa bħal din twassal għal telf ta' kompatibilità ma 'numru kbir ta' sistemi anzjani li ma kinux żid iċ-ċertifikat tal-għeruq Let's Encrypt mar-repożitorji tagħhom. B'mod partikolari, madwar 30% tal-apparati Android li qed jintużaw m'għandhomx dejta fuq iċ-ċertifikat tal-għerq Let's Encrypt, li l-appoġġ tiegħu deher biss jibda bil-pjattaforma Android 7.1.1, rilaxxata fl-aħħar tal-2016.
Let's Encrypt ma ppjanatx li tidħol fi ftehim ġdid ta' cross-firem, peress li dan jimponi responsabbiltà addizzjonali fuq il-partijiet tal-ftehim, iċaħħadhom mill-indipendenza u jorbot idejhom f'termini ta 'konformità mal-proċeduri u r-regoli kollha ta' awtorità ta 'ċertifikazzjoni oħra. Iżda minħabba problemi potenzjali fuq numru kbir ta 'apparati Android, il-pjan ġie rivedut. Ġie konkluż ftehim ġdid mal-awtorità taċ-ċertifikazzjoni IdenTrust, li fi ħdanu inħoloq ċertifikat intermedju Let's Encrypt ffirmat inkroċjat alternattiv. Il-firma inkroċjata se tkun valida għal tliet snin u se żżomm appoġġ għal apparati Android li jibdew bil-verżjoni 2.3.6.
Madankollu, iċ-ċertifikat intermedju l-ġdid ma jkoprix ħafna sistemi oħra tal-wirt. Pereżempju, meta ċ-ċertifikat DST Root CA X3 jitneħħa fit-30 ta’ Settembru, iċ-ċertifikati Let's Encrypt ma jibqgħux jiġu aċċettati fuq firmware u sistemi operattivi mhux appoġġjati li jeħtieġu li żżid manwalment iċ-ċertifikat ISRG Root X1 mal-maħżen taċ-ċertifikati tal-għeruq biex tiġi żgurata l-fiduċja fiċ-ċertifikati Let's Encrypt. . Il-problemi se jimmanifestaw ruħhom fi:
- OpenSSL sal-fergħa 1.0.2 inkluża (il-manutenzjoni tal-fergħa 1.0.2 twaqqfet f'Diċembru 2019);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
Fil-każ ta 'OpenSSL 1.0.2, il-problema hija kkawżata minn bug li jipprevjeni ċertifikati ffirmati inkroċjati milli jiġu pproċessati b'mod korrett jekk jiskadi wieħed miċ-ċertifikati root użati għall-iffirmar, anke jekk jibqgħu ktajjen ta' fiduċja validi oħra. Il-problema ħarġet għall-ewwel darba s-sena li għaddiet wara li ċ-ċertifikat AddTrust użat biex jiffirma ċ-ċertifikati mill-awtorità taċ-ċertifikazzjoni Sectigo (Comodo) sar skadut. Il-qofol tal-problema hija li OpenSSL analizza ċ-ċertifikat bħala katina lineari, filwaqt li skont RFC 4158, ċertifikat jista 'jirrappreżenta graff ċirkolari distribwit dirett b'ankri ta' fiduċja multipli li jeħtieġ li jitqiesu.
Utenti ta' distribuzzjonijiet anzjani bbażati fuq OpenSSL 1.0.2 huma offruti tliet soluzzjonijiet biex isolvu l-problema:
- Neħħa manwalment iċ-ċertifikat tal-għerq IdenTrust DST Root CA X3 u installa ċ-ċertifikat tal-għerq ISRG Root X1 waħdu (mhux iffirmat inkroċjat).
- Meta tħaddem il-kmandi openssl verify u s_client, tista 'tispeċifika l-għażla "-trusted_first".
- Uża fuq is-server ċertifikat iċċertifikat b'ċertifikat ta' għerq separat SRG Root X1, li m'għandux cross-firma. Dan il-metodu se jwassal għal telf ta 'kompatibilità ma' klijenti Android anzjani.
Barra minn hekk, nistgħu ninnotaw li l-proġett Let's Encrypt qabeż it-tragward ta 'żewġ biljun ċertifikat iġġenerat. It-tragward ta’ biljun intlaħaq fi Frar tas-sena li għaddiet. 2.2-2.4 miljun ċertifikat ġdid huma ġġenerati kuljum. In-numru ta 'ċertifikati attivi huwa ta' 192 miljun (ċertifikat huwa validu għal tliet xhur) u jkopri madwar 260 miljun qasam (195 miljun qasam kienu koperti sena ilu, 150 miljun sentejn ilu, 60 miljun tliet snin ilu). Skont statistika mis-servizz Firefox Telemetry, is-sehem globali tat-talbiet tal-paġni permezz tal-HTTPS huwa 82% (sena ilu - 81%, sentejn ilu - 77%, tliet snin ilu - 69%, erba 'snin ilu - 58%).
Sors: opennet.ru