စက်တင်ဘာလ 30 ရက်နေ့ 17:01 တွင်မော်စကိုစံတော်ချိန်၌၊ အသိုင်းအဝိုင်းမှထိန်းချုပ်ထားသည့် Let's Encrypt certification authority (ISRG Root X3) ၏ root လက်မှတ်ကိုဖြတ်ကျော်လက်မှတ်ထိုးရန်အတွက်အသုံးပြုခဲ့သည့် IdenTrust root လက်မှတ် (DST Root CA X1)၊ လက်မှတ်များကို လူတိုင်းကို အခမဲ့ပေးသည်၊ သက်တမ်းကုန်သည်။ Let's Encrypt ၏ကိုယ်ပိုင် root လက်မှတ်ကို root လက်မှတ်စတိုးဆိုင်များတွင် ပေါင်းစည်းထားစဉ် စက်ပစ္စည်းများ၊ လည်ပတ်မှုစနစ်များနှင့် ဘရောက်ဆာများစွာတွင် Let's Encrypt အသိအမှတ်ပြုလက်မှတ်များကို အပြန်အလှန်လက်မှတ်ထိုးခြင်းဖြင့် ယုံကြည်စိတ်ချစေပါသည်။
DST Root CA X3 ကို ငြင်းပယ်ပြီးနောက်၊ Let's Encrypt ပရောဂျက်သည် ၎င်း၏ root လက်မှတ်ကိုသာ အသုံးပြု၍ လက်မှတ်များထုတ်ပေးခြင်းသို့ ပြောင်းမည်ဟု မူလက စီစဉ်ထားသော်လည်း ထိုသို့ပြုလုပ်ခြင်းသည် မလုပ်ဆောင်သော စနစ်ဟောင်းအများအပြားနှင့် လိုက်ဖက်ညီမှု ဆုံးရှုံးသွားစေသည်။ ၎င်းတို့၏ သိုလှောင်ရာနေရာများတွင် Let's Encrypt root လက်မှတ်ကို ထည့်ပါ။ အထူးသဖြင့်၊ အသုံးပြုနေသော Android စက်ပစ္စည်းများ၏ 30% ခန့်သည် 7.1.1 နှစ်ကုန်ပိုင်းတွင် ထွက်ရှိခဲ့သော Android 2016 ပလပ်ဖောင်းမှ စတင်သည့် ပံ့ပိုးမှုဖြစ်သည့် Let's Encrypt root လက်မှတ်တွင် ဒေတာမရှိပါ။
Let's Encrypt သည် သဘောတူညီချက်ပါ၀င်သူများအပေါ် ထပ်လောင်းတာဝန်ယူထားသောကြောင့် ၎င်းတို့အား လွတ်လပ်မှုလက်လွတ်ရပြီး အခြားအသိအမှတ်ပြုအာဏာပိုင်အဖွဲ့၏ လုပ်ထုံးလုပ်နည်းများနှင့် စည်းမျဉ်းများအားလုံးကို လိုက်လျောညီထွေဖြစ်စေရန်အတွက် ၎င်းတို့လက်ထဲတွင် ချိတ်ဆက်ထားသောကြောင့် Let's Encrypt သည် အပြန်အလှန်လက်မှတ်ထိုးခြင်းဆိုင်ရာ သဘောတူညီချက်အသစ်တွင် ပါဝင်ရန် အစီအစဉ်မရှိပေ။ သို့သော် Android စက်အများအပြားတွင် ဖြစ်နိုင်ချေရှိသော ပြဿနာများကြောင့် အစီအစဉ်ကို ပြန်လည်ပြင်ဆင်ခဲ့သည်။ သဘောတူညီချက်အသစ်တစ်ခုအား IdenTrust အသိအမှတ်ပြု အာဏာပိုင်နှင့် နိဂုံးချုပ်လိုက်သည်၊၊ ၎င်းဘောင်အတွင်းတွင် အခြားသော လက်မှတ်ရေးထိုးထားသော Let's Encrypt အလယ်အလတ်လက်မှတ်ကို ဖန်တီးထားသည့် ဘောင်အတွင်းမှ သဘောတူညီချက်အသစ်ကို နိဂုံးချုပ်လိုက်ပါသည်။ လက်ဝါးကပ်တိုင်လက်မှတ်သည် သုံးနှစ်သက်တမ်းရှိမည်ဖြစ်ပြီး ဗားရှင်း 2.3.6 မှစတင်သည့် Android စက်ပစ္စည်းများအတွက် ပံ့ပိုးမှုကို ဆက်လက်ထားရှိမည်ဖြစ်သည်။
သို့သော်၊ အလယ်အလတ်လက်မှတ်အသစ်သည် အခြားသော အမွေအနှစ်စနစ်များစွာကို အကျုံးမဝင်ပါ။ ဥပမာအားဖြင့်၊ DST Root CA X3 လက်မှတ်သည် စက်တင်ဘာ 30 တွင် ရပ်တန့်သွားသောအခါ၊ Let's Encrypt လုပ်ထားသော လက်မှတ်များကို Let's Encrypt လုပ်ထားသည့် အသိအမှတ်ပြုလက်မှတ်များကို Let's Encryption တွင် ကိုယ်တိုင်ထည့်သွင်းရန်လိုအပ်သော ISRG Root X1 လက်မှတ်ကို ကိုယ်တိုင်ထည့်သွင်းရန်လိုအပ်သည့် ပံ့ပိုးမထားသော Firmware နှင့် Operating System များတွင် လက်ခံနိုင်တော့မည်မဟုတ်ပါ။ . ပြဿနာများသည် ၎င်းတို့ကို ထင်ရှားစေလိမ့်မည်-
- OpenSSL သည် ဘဏ်ခွဲ 1.0.2 အထိ ပါဝင်သည် (ဌာနခွဲ 1.0.2 ၏ ပြုပြင်ထိန်းသိမ်းမှုကို 2019 ခုနှစ် ဒီဇင်ဘာလတွင် ရပ်ဆိုင်းခဲ့သည်);
- NSS < 3.26;
- Java 8 < 8u141၊ Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < ၈။
OpenSSL 1.0.2 ၏ဖြစ်ရပ်တွင်၊ အခြားတရားဝင်သောယုံကြည်မှုကွင်းဆက်များကျန်ရှိနေသော်လည်း၊ လက်မှတ်ထိုးရန်အတွက်အသုံးပြုသည့်အရင်းလက်မှတ်များထဲမှတစ်ခုသက်တမ်းကုန်သွားပါက၊ လက်မှတ်ဖြတ်ထားသောလက်မှတ်များကိုမှန်ကန်စွာလုပ်ဆောင်ခြင်းမှတားဆီးသည့် bug ကြောင့်ဖြစ်ရသည့်ပြဿနာဖြစ်သည်။ AddTrust လက်မှတ်သည် Sectigo (Comodo) အသိအမှတ်ပြုလက်မှတ်များ ရပ်ဆိုင်းသွားပြီးနောက် ယမန်နှစ်တွင် ပြဿနာ စတင်ပေါ်ပေါက်ခဲ့သည်။ ပြဿနာ၏ အဓိကအချက်မှာ OpenSSL သည် လက်မှတ်ကို linear ကွင်းဆက်တစ်ခုအဖြစ် ခွဲခြမ်းစိပ်ဖြာထားသော်လည်း RFC 4158 အရ၊ လက်မှတ်သည် ထည့်သွင်းစဉ်းစားရန်လိုအပ်သည့် ယုံကြည်စိတ်ချရသောကျောက်ဆူးများစွာဖြင့် တိုက်ရိုက်ဖြန့်ဝေထားသော စက်ဝိုင်းဂရပ်ကို ကိုယ်စားပြုနိုင်သည်။
OpenSSL 1.0.2 ကိုအခြေခံထားသော အဟောင်းဖြန့်ဖြူးမှုအသုံးပြုသူများသည် ပြဿနာကိုဖြေရှင်းရန်အတွက် ဖြေရှင်းချက်သုံးချက် ပေးထားပါသည်။
- IdenTrust DST Root CA X3 အမြစ်အသိအမှတ်ပြုလက်မှတ်ကို ကိုယ်တိုင်ဖယ်ရှားပြီး သီးခြားစီ (လက်မှတ်မထိုးထားသော) ISRG Root X1 အမြစ်လက်မှတ်ကို ကိုယ်တိုင်ထည့်သွင်းပါ။
- openssl verify နှင့် s_client commands များကို run သောအခါ၊ သင်သည် “--trusted_first” option ကို သတ်မှတ်နိုင်ပါသည်။
- ဖြတ်ကျော်လက်မှတ်မပါသော သီးခြား root လက်မှတ် SRG Root X1 မှ အသိအမှတ်ပြုလက်မှတ်ကို ဆာဗာပေါ်တွင် အသုံးပြုပါ။ ဤနည်းလမ်းသည် Android သုံးစွဲသူဟောင်းများနှင့် လိုက်ဖက်ညီမှုကို ဆုံးရှုံးသွားစေမည်ဖြစ်သည်။
ထို့အပြင်၊ Let's Encrypt ပရောဂျက်သည် ထုတ်ပေးသည့် လက်မှတ်ပေါင်း နှစ်ဘီလီယံ၏ မှတ်တိုင်ကို ကျော်ဖြတ်ခဲ့ကြောင်း မှတ်သားနိုင်ပါသည်။ လွန်ခဲ့သည့်နှစ် ဖေဖော်ဝါရီတွင် တစ်ဘီလီယံမှတ်တိုင် ရောက်ရှိလာခဲ့သည်။ လက်မှတ်အသစ် 2.2-2.4 သန်းကို နေ့စဉ်ထုတ်ပေးပါသည်။ အသက်ဝင်သော လက်မှတ်အရေအတွက်သည် 192 သန်း (လက်မှတ်တစ်ခုသည် သုံးလအတွက် သက်တမ်းရှိသည်) နှင့် domains သန်း 260 ခန့် (လွန်ခဲ့သည့်တစ်နှစ်တွင် domains 195 သန်း၊ လွန်ခဲ့သည့်နှစ်နှစ်တွင် သန်း 150၊ လွန်ခဲ့သည့်သုံးနှစ်က သန်း 60) တို့ဖြစ်သည်။ Firefox Telemetry ဝန်ဆောင်မှုမှ စာရင်းဇယားများအရ HTTPS မှတစ်ဆင့် စာမျက်နှာတောင်းဆိုမှုများ၏ ကမ္ဘာလုံးဆိုင်ရာဝေစုမှာ 82% (လွန်ခဲ့သည့်တစ်နှစ် - 81%, လွန်ခဲ့သောနှစ်နှစ်က - 77%, လွန်ခဲ့သောသုံးနှစ်က - 69%, လွန်ခဲ့သောလေးနှစ်က - 58%)။
source: opennet.ru