ဘရောက်ဆာသည် ဝဘ်ဆိုက်တစ်ခုကို စစ်မှန်ကြောင်း သက်သေပြနိုင်ရန်၊ ၎င်းသည် မှန်ကန်သော လက်မှတ်များ၏ ကွင်းဆက်တစ်ခုအဖြစ် သူ့ကိုယ်သူ တင်ပြသည်။ ပုံမှန်ကွင်းဆက်တစ်ခုကို ထိပ်တွင်ပြသထားပြီး အလယ်အလတ်လက်မှတ်တစ်ခုထက်မက ရှိနိုင်ပါသည်။ တရားဝင်ကွင်းဆက်တစ်ခုရှိ လက်မှတ်အရေအတွက် အနည်းဆုံးမှာ သုံးမျိုးဖြစ်သည်။

အရင်းလက်မှတ်သည် လက်မှတ်အာဏာပိုင်၏ နှလုံးသားဖြစ်သည်။ ၎င်းကို သင်၏ OS သို့မဟုတ် ဘရောက်ဆာတွင် စာသားအတိုင်းတည်ဆောက်ထားပြီး ၎င်းသည် သင့်စက်ပစ္စည်းပေါ်တွင် ရုပ်ပိုင်းဆိုင်ရာပါရှိသည်။ ဆာဗာဘက်ခြမ်းကနေ ပြောင်းလို့မရဘူး။ သင့်စက်တွင် OS သို့မဟုတ် firmware အပ်ဒိတ်ကို အတင်းအကြပ်လုပ်ရန် လိုအပ်သည်။

လုံခြုံရေး အထူးကျွမ်းကျင်သူ Scott Helme သူကရေးသားခဲ့သည်Let's Encrypt certificate authority နှင့် အဓိက ပြဿနာများ ပေါ်ပေါက်လာမည် ဖြစ်သောကြောင့် ယနေ့ ၎င်းသည် အင်တာနက်ပေါ်တွင် ရေပန်းအစားဆုံး CA ဖြစ်ပြီး ၎င်း၏ root လက်မှတ်သည် မကြာမီ ထွက်တော့မည်ဖြစ်သည်။ Let's Encrypt Root ကို ပြောင်းခြင်း။ 8 ခုနှစ် ဇူလိုင်လ 2020 ရက်နေ့ အတွက် စီစဉ်ထားပါသည်။.

Certificate Authority (CA) အဆုံးနှင့် အလယ်အလတ်လက်မှတ်များကို ဆာဗာမှ client ထံ ပေးပို့ထားပြီး၊ root လက်မှတ်ကို client ထံ ပေးပို့ထားစဉ် ရှိပြီးသားထို့ကြောင့် ဤလက်မှတ်များစုဆောင်းခြင်းဖြင့် သင်သည် ဝဘ်ဆိုက်ကို ချိတ်ဆက်ပြီး စစ်မှန်ကြောင်း သက်သေပြနိုင်သည်။

ပြဿနာမှာ လက်မှတ်တိုင်းတွင် သက်တမ်းကုန်ဆုံးသည့်ရက်စွဲရှိသောကြောင့် ၎င်းကို အစားထိုးရန် လိုအပ်သည်။ ဥပမာအားဖြင့်၊ စက်တင်ဘာလ 1 ရက်၊ 2020 မှစပြီး Safari ဘရောက်ဆာသည် ဆာဗာ TLS လက်မှတ်များ၏ တရားဝင်သက်တမ်းကာလအပေါ် ကန့်သတ်ချက်တစ်ခု မိတ်ဆက်ရန် စီစဉ်နေပါသည်။ အများဆုံး 398 ရက်.

ဆိုလိုသည်မှာ ကျွန်ုပ်တို့အားလုံးသည် အနည်းဆုံး 12 လတစ်ကြိမ် ဆာဗာလက်မှတ်များကို အစားထိုးရမည်ဖြစ်ပါသည်။ ဤကန့်သတ်ချက်သည် ဆာဗာအသိအမှတ်ပြုလက်မှတ်များနှင့်သာ သက်ဆိုင်ပါသည်။ မဟုတ် root CA လက်မှတ်များနှင့် သက်ဆိုင်ပါသည်။

CA လက်မှတ်များကို မတူညီသော စည်းမျဉ်းများဖြင့် ထိန်းချုပ်ထားသောကြောင့် မတူညီသော တရားဝင်မှု ကန့်သတ်ချက်များရှိသည်။ တရားဝင်သက်တမ်း 5 နှစ်နှင့် root လက်မှတ်များကို 25 နှစ်ပင်သက်တမ်းရှိသောအလယ်အလတ်လက်မှတ်များကိုတွေ့မြင်ရသည်မှာအလွန်ရိုးရှင်းပါသည်။

အလယ်အလတ်လက်မှတ်များကို များသောအားဖြင့် ပြဿနာမရှိပါ၊ အဘယ်ကြောင့်ဆိုသော် ၎င်းတို့ကို ဆာဗာမှ ဖောက်သည်ထံ ပေးပို့ထားသောကြောင့် ၎င်းကို ၎င်း၏ကိုယ်ပိုင်လက်မှတ်ကို မကြာခဏပြောင်းလဲစေသောကြောင့် ၎င်းသည် ဤလုပ်ငန်းစဉ်အတွင်း အလယ်အလတ်လက်မှတ်ကို အစားထိုးရန်အတွက် ၎င်းကို မကြာခဏပြုလုပ်ပေးသောကြောင့်ဖြစ်သည်။ root CA လက်မှတ်ကို ဆန့်ကျင်၍ ဆာဗာလက်မှတ်နှင့်အတူ အစားထိုးရန် အလွန်လွယ်ကူသည်။

ကျွန်ုပ်တို့ပြောပြီးသားအတိုင်း၊ root CA သည် client device ကိုယ်တိုင်၊ OS ထဲသို့၊ browser သို့မဟုတ် အခြား software သို့ တိုက်ရိုက်တည်ဆောက်ထားသည်။ root CA ကိုပြောင်းခြင်းသည် ဝဘ်ဆိုဒ်၏ ထိန်းချုပ်မှုထက် ကျော်လွန်ပါသည်။ ၎င်းသည် OS သို့မဟုတ် ဆော့ဖ်ဝဲလ် အပ်ဒိတ်ဖြစ်စေ ကလိုင်းယင့်အပေါ် အပ်ဒိတ်တစ်ခု လိုအပ်သည်။

အချို့သော root CA များသည် 20-25 နှစ်ခန့်ကြာမြင့်နေပြီဖြစ်သည်။ မကြာမီတွင် ရှေးအကျဆုံး root CA အချို့သည် ၎င်းတို့၏ သဘာဝသက်တမ်းကုန်ဆုံးခါနီးတွင် ၎င်းတို့၏အချိန်ကုန်ဆုံးလုနီးပါးဖြစ်လိမ့်မည်။ ကျွန်ုပ်တို့အများစုအတွက်၊ CA များသည် root လက်မှတ်အသစ်များကို ဖန်တီးထားပြီး OS နှင့် browser အပ်ဒိတ်များတွင် နှစ်ပေါင်းများစွာ ကမ္ဘာတစ်ဝှမ်းလုံးကို ဖြန့်ဝေထားသောကြောင့် ၎င်းသည် ပြဿနာဖြစ်မည်မဟုတ်ပါ။ ဒါပေမယ့် တစ်ယောက်ယောက်က သူတို့ရဲ့ OS ဒါမှမဟုတ် browser ကို အချိန်အကြာကြီး မွမ်းမံထားရင် အဲဒါက ပြဿနာတစ်ခုပါပဲ။

ဤအခြေအနေသည် မေလ 30 ရက် 2020 ခုနှစ် 10:48:38 GMT တွင် ပေါ်ပေါက်ခဲ့သည်။ ဒီအချိန်က အတိအကျပဲ။ ပုပ်နေသော root လက်မှတ် AddTrust Comodo Certificate Authority (Sectigo) မှ။

စတိုးတွင် USERTrust အမြစ်လက်မှတ်အသစ်မပါဝင်သည့် အမွေအနှစ်ပစ္စည်းများနှင့် လိုက်ဖက်မှုရှိစေရန်အတွက် အပြန်အလှန်လက်မှတ်ရေးထိုးခြင်းအတွက် ၎င်းကို အသုံးပြုထားသည်။

ကံမကောင်းစွာပဲ၊ အမွေအနှစ်ဘရောက်ဆာများတွင်သာမက OpenSSL 1.0.x၊ LibreSSL နှင့် OpenSSL XNUMX.x၊ LibreSSL နှင့် အခြေခံသည့် ဘရောက်ဆာမဟုတ်သော ဖောက်သည်များတွင်လည်း ပြဿနာများ ဖြစ်ပွားခဲ့သည်။ gnuTLS. ဥပမာအားဖြင့်၊ တီဗီသေတ္တာများတွင် ခုနှစ်၊ဝန်ဆောင်မှု HerokuFortinet၊ Chargify၊ Linux ရှိ .NET Core 2.0 နှင့် အခြားများစွာ.

ခေတ်မီဘရောက်ဆာများသည် ဒုတိယ USERTRust root လက်မှတ်ကို အသုံးပြုထားသောကြောင့် ပြဿနာသည် အမွေအနှစ်စနစ်များ (Android 2.3၊ Windows XP၊ Mac OS X 10.11၊ iOS 9 စသည်ဖြင့်) ကိုသာ သက်ရောက်မှုရှိမည်ဟု ယူဆပါသည်။ သို့သော် တကယ်တမ်းတွင် OpenSSL 1.0.x နှင့် GnuTLS အခမဲ့စာကြည့်တိုက်များကို အသုံးပြုသည့် ဝဘ်ဝန်ဆောင်မှုရာပေါင်းများစွာသည် ပျက်ကွက်လာသည်။ ခေတ်မမီတော့သော လက်မှတ်အမှားတစ်ခုဖြင့် လုံခြုံသောချိတ်ဆက်မှုကို မတည်ဆောက်နိုင်ပါ။

နောက်တစ်ခု - စာဝှက်ကြပါစို့

လာမည့် root CA ပြောင်းလဲမှု၏ နောက်ထပ်ကောင်းသော ဥပမာတစ်ခုမှာ Let's Encrypt CA ဖြစ်သည်။ နောက်ထပ် ဧပြီလ 2019 ခုနှစ် ၎င်းတို့သည် Identrust ကွင်းဆက်မှ ၎င်းတို့၏ကိုယ်ပိုင် ISRG Root ကွင်းဆက်သို့ ပြောင်းရွှေ့ရန် စီစဉ်ခဲ့သော်လည်း၊ မဖြစ်ခဲ့ဘူး.

"Android စက်ပစ္စည်းများတွင် ISRG root ပြန့်ပွားမှုနည်းပါးခြင်းနှင့် ပတ်သက်၍ စိုးရိမ်မှုများကြောင့် ကူးပြောင်းသည့်ရက်စွဲကို ဇူလိုင်လ 8၊ 2019 မှ 8 ခုနှစ် ဇူလိုင်လ 2020 ရက်နေ့အထိ မူရင်း root သို့ ရွှေ့ရန် ဆုံးဖြတ်လိုက်သည်" ဟု Let's Encrypt မှ တရားဝင်ပို့စ်တစ်ခုတွင် ပြောကြားခဲ့သည်။

"root propagation" ဟုခေါ်သော ပြဿနာတစ်ခုကြောင့် ရက်ချိန်းကို ပြန်ရွှေ့ရမည်ဖြစ်ပါသည်။ သို့မဟုတ် အထူးသဖြင့်၊ root CA ကို သုံးစွဲသူများအားလုံးတွင် ကျယ်ကျယ်ပြန့်ပြန့် မဖြန့်ဝေသည့်အခါ root propagation မရှိခြင်းကြောင့် ရက်ချိန်းယူရမည်ဖြစ်သည်။

Let's Encrypt သည် IdenTrust DST Root CA X3 အမြစ်တွင် ချိတ်ဆက်ထားသော အပြန်အလှန်လက်မှတ်ထိုးထားသော အလယ်အလတ်လက်မှတ်ကို အသုံးပြုထားသည်။ ဤ root လက်မှတ်ကို 2000 ခုနှစ် စက်တင်ဘာလတွင် ပြန်လည်ထုတ်ပေးခဲ့ပြီး စက်တင်ဘာ 30၊ 2021 တွင် သက်တမ်းကုန်ဆုံးမည်ဖြစ်သည်။ ထိုအချိန်အထိ၊ Let's Encrypt သည် ၎င်း၏ကိုယ်ပိုင်လက်မှတ်ထိုးထားသော ISRG Root X1 သို့ပြောင်းရန် စီစဉ်နေသည်။

ISRG root ကို 4 ခုနှစ် ဇွန်လ 2015 ရက်နေ့တွင် ထုတ်ပြန်ခဲ့သည်။ ယင်းနောက်၊ အသိအမှတ်ပြု အာဏာပိုင်အဖွဲ့တစ်ခုအဖြစ် ၎င်း၏ ခွင့်ပြုချက် လုပ်ငန်းစဉ် စတင်ခဲ့ပြီး ပြီးဆုံးခဲ့သည်။ သြဂုတ်လ 6 2018 နှစ်ပေါင်း. ထိုအချိန်မှစ၍၊ လည်ပတ်မှုစနစ် သို့မဟုတ် ဆော့ဖ်ဝဲလ်မွမ်းမံမှုမှတစ်ဆင့် သုံးစွဲသူများအားလုံးအတွက် root CA ကို ရရှိစေခဲ့သည်။ သင်လုပ်ရမှာက update ကို install လုပ်ပါ။

ဒါပေမယ့် အဲဒီထဲမှာ ပြဿနာ ရှိတယ်။

သင့်မိုဘိုင်းဖုန်း၊ တီဗီ သို့မဟုတ် အခြားစက်ပစ္စည်းကို နှစ်နှစ်ကြာ အပ်ဒိတ်မလုပ်ပါက - ISRG Root X1 root လက်မှတ်အသစ်အကြောင်း ၎င်းသည် မည်သို့သိသနည်း။ ၎င်းကို စနစ်တွင် ထည့်သွင်းမထားပါက၊ Let's Encrypt ကို အမြစ်အသစ်သို့ ရွှေ့လိုက်သည်နှင့် Let's Encrypt server လက်မှတ်များအားလုံးသည် သင့်စက်ပစ္စည်းမှ ပျက်သွားမည်ဖြစ်သည်။ Andriod ဂေဟစနစ်တွင် အချိန်အတော်ကြာ အပ်ဒိတ်မလုပ်ရသေးသော ခေတ်မမီသော စက်ပစ္စည်းများစွာ ရှိပါသည်။

Android ဂေဟစနစ်

ထို့ကြောင့် Let's Encrypt သည် ၎င်း၏ကိုယ်ပိုင် ISRG အမြစ်သို့ ကူးပြောင်းမှုကို ရွှေ့ဆိုင်းလိုက်ပြီး IdenTrust အမြစ်သို့ ဆင်းသက်သည့် အလယ်အလတ်တန်းကို အသုံးပြုနေဆဲဖြစ်သည်။ ဒါပေမယ့် အပြောင်းအရွှေ့ကို လုပ်ရမှာပေါ့။ အမြစ်ပြောင်းလဲမှု၏ရက်စွဲကိုခန့်အပ်သည်။ ဇူလိုင်လ 8 2020 နှစ်ပေါင်း.

သင့်စက်ပစ္စည်း (TV၊ set-top box သို့မဟုတ် အခြား client) တွင် ISRG X1 root ထည့်သွင်းထားကြောင်း စစ်ဆေးရန်၊ စမ်းသပ်ဆိုက်ကိုဖွင့်ပါ။ https://valid-isrgrootx1.letsencrypt.org/. လုံခြုံရေးသတိပေးချက်ကို မတွေ့ပါက၊ ပုံမှန်အားဖြင့် အဆင်ပြေပါသည်။

Let's Encrypt သည် အမြစ်အသစ်သို့ ပြောင်းရွှေ့ခြင်း ပြဿနာကို ရင်ဆိုင်နေရသော တစ်ခုတည်းသော ပြဿနာမဟုတ်ပါ။ အင်တာနက်ပေါ်တွင် စာရေးနည်းကို လွန်ခဲ့သော အနှစ် 20 ကျော်က စတင်အသုံးပြုလာသောကြောင့် ယခုအချိန်သည် root လက်မှတ်များစွာ၏ သက်တမ်းကုန်ဆုံးချိန်ဖြစ်သည်။

၎င်းတို့၏ Smart TV ဆော့ဖ်ဝဲလ်ကို နှစ်ပေါင်းများစွာ မွမ်းမံမွမ်းမံထားသော စမတ်တီဗီပိုင်ရှင်များသည် ယင်းပြဿနာကို ကြုံတွေ့ရနိုင်သည်။ ဥပမာ၊ GlobalSign root အသစ် R5 Root 2012 တွင်ထွက်ရှိခဲ့ပြီး၊ အချို့သော Smart TV အဟောင်းများသည် ဤ root CA မပါရှိသောကြောင့် ၎င်းအတွက် ကွင်းဆက်မတည်ဆောက်နိုင်ပါ။ အထူးသဖြင့်၊ ဤဖောက်သည်များသည် bbc.co.uk သို့ လုံခြုံသောချိတ်ဆက်မှုကို မထူထောင်နိုင်ပါ။ ပြဿနာကိုဖြေရှင်းရန် BBC စီမံခန့်ခွဲသူများသည် လှည့်ကွက်တစ်ခုအား ကိုးကားရပါသည်- ၎င်းတို့ ဤဖောက်သည်များအတွက် အစားထိုးကွင်းဆက်တစ်ခုကို တည်ဆောက်ခဲ့သည်။ အမြစ်ဟောင်းများကို အသုံးပြု၍ အလယ်အလတ်လက်မှတ်များမှတစ်ဆင့်၊ R3 Root и R1 Rootမပုပ်သေး။

www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (အလယ်အလတ်) GlobalSign Root CA - R5 (အလယ်အလတ်) GlobalSign Root CA - R3 (အလယ်အလတ်)

ဒါက ယာယီဖြေရှင်းချက်ပါ။ ကလိုင်းယင့်ဆော့ဖ်ဝဲကို မွမ်းမံမွမ်းမံပါက ပြဿနာ ပြေလည်သွားမည်မဟုတ်ပေ။ စမတ်တီဗီသည် အခြေခံအားဖြင့် အကန့်အသတ်ရှိသော လုပ်ဆောင်နိုင်စွမ်းရှိသော Linux ကွန်ပျူတာဖြစ်သည်။ အပ်ဒိတ်များမရှိပါက ၎င်း၏ root လက်မှတ်များသည် မလွဲမသွေ ဆိုးရွားသွားပါမည်။

၎င်းသည် TV များသာမက စက်ပစ္စည်းအားလုံးနှင့် သက်ဆိုင်ပါသည်။ သင့်တွင် အင်တာနက်နှင့် ချိတ်ဆက်ထားသည့် စက်ပစ္စည်းတစ်ခုခုရှိပြီး "စမတ်" ကိရိယာအဖြစ် ကြော်ငြာထားသည်ဆိုလျှင်၊ ပုပ်ပွနေသော လက်မှတ်များ ပြဿနာသည် ၎င်းနှင့် ဆက်စပ်နေသည်မှာ သေချာပါသည်။ စက်ပစ္စည်းကို အပ်ဒိတ်မလုပ်ပါက၊ CA အမြစ်စတိုးသည် အချိန်ကြာလာသည်နှင့်အမျှ ခေတ်နောက်ကျသွားမည်ဖြစ်ပြီး နောက်ဆုံးတွင် ပြဿနာပြန်ပေါ်လာမည်ဖြစ်သည်။ အမြစ်စတိုးကို နောက်ဆုံးအပ်ဒိတ်လုပ်သည့်အချိန်ပေါ်တွင်မူတည်ပြီး ပြဿနာမည်မျှကြာမည်နည်း။ ၎င်းသည် စက်ပစ္စည်း၏ အမှန်တကယ် ထွက်ရှိသည့်ရက်စွဲမတိုင်မီ နှစ်အတော်ကြာနိုင်သည်။

စကားမစပ်၊ ဤသည်မှာ ပြဿနာဖြစ်သည်၊ အချို့သော မီဒီယာပလပ်ဖောင်းများသည် Let's Encrypt ကဲ့သို့သော ခေတ်မီ အလိုအလျောက် အလိုအလျောက် လက်မှတ်အာဏာပိုင်များကို အဘယ်ကြောင့် အသုံးမပြုနိုင်သနည်းဟု Scott Helme က ရေးသားခဲ့သည်။ ၎င်းတို့သည် စမတ်တီဗီများအတွက် မသင့်လျော်ပါ၊ အမွေအနှစ်ကိရိယာများတွင် လက်မှတ်ပံ့ပိုးမှုကို အာမခံရန် အမြစ်အရေအတွက် နည်းပါးလွန်းပါသည်။ မဟုတ်ပါက တီဗီသည် ခေတ်မီ တိုက်ရိုက်ကြည့်ရှုခြင်းဝန်ဆောင်မှုများကို စတင်နိုင်မည်မဟုတ်ပေ။

နောက်ဆုံး AddTrust ဖြစ်ရပ်တွင် IT ကုမ္ပဏီကြီးများသည် root လက်မှတ်သက်တမ်းကုန်သွားသည့်အချက်အတွက် အဆင်သင့်မဖြစ်သေးကြောင်း ပြသခဲ့သည်။

ပြဿနာအတွက် အဖြေတစ်ခုသာ ရှိသည် - အဆင့်မြှင့်တင်ခြင်း။ Smart device developer များသည် ဆော့ဖ်ဝဲလ်နှင့် root လက်မှတ်များကို အပ်ဒိတ်လုပ်ရန် ယန္တရားတစ်ခုကို ကြိုတင်ပြင်ဆင်ထားသင့်သည်။ အခြားတစ်ဖက်တွင်၊ အာမခံကာလကုန်ဆုံးပြီးနောက် ၎င်းတို့၏စက်ပစ္စည်းများ၏လည်ပတ်မှုကို သေချာစေရန် ထုတ်လုပ်သူများအတွက် အကျိုးမရှိပေ။

source: www.habr.com