🥇IdenTrust रूट प्रमाणपत्र अप्रचलित हुनुले पुरानो यन्त्रहरूमा चलो एन्क्रिप्टमा विश्वास गुमाउनेछ। प्रोहोस्टर

सेप्टेम्बर 30 मा मस्को समय 17:01 मा, IdenTrust रूट प्रमाणपत्र (DST रूट CA X3), जुन समुदाय द्वारा नियन्त्रित चलो इन्क्रिप्ट प्रमाणीकरण प्राधिकरण (ISRG रूट X1) को मूल प्रमाणपत्र क्रस-साइन गर्न प्रयोग गरिएको थियो। सबैलाई नि:शुल्क प्रमाणपत्र प्रदान गर्दछ, म्याद समाप्त हुन्छ। क्रस-हस्ताक्षरले सुनिश्चित गर्‍यो कि Let's Encrypt प्रमाणपत्रहरू यन्त्रहरू, अपरेटिङ सिस्टमहरू, र ब्राउजरहरूको विस्तृत दायरामा विश्वास गरिएको थियो जबकि Let's Encrypt को आफ्नै रूट प्रमाणपत्र रूट प्रमाणपत्र स्टोरहरूमा एकीकृत गरिएको थियो।

यो मूल रूपमा योजना गरिएको थियो कि DST Root CA X3 को ह्रास पछि, Let's Encrypt परियोजनाले यसको मूल प्रमाणपत्र प्रयोग गरेर मात्र हस्ताक्षरहरू उत्पन्न गर्न स्विच गर्नेछ, तर यस्तो कदमले पुरानो प्रणालीहरूको ठूलो संख्यासँग अनुकूलता गुमाउनेछ। तिनीहरूको भण्डारहरूमा मूल प्रमाणपत्रलाई एन्क्रिप्ट गरौं। विशेष गरी, प्रयोगमा रहेका लगभग ३०% एन्ड्रोइड उपकरणहरूसँग Let's Encrypt root प्रमाणपत्रमा डाटा छैन, जसको लागि समर्थन मात्र 30 को अन्त्यमा जारी भएको एन्ड्रोइड 7.1.1 प्लेटफर्मबाट सुरु भएको थियो।

चलो एन्क्रिप्टले नयाँ क्रस-हस्ताक्षर सम्झौतामा प्रवेश गर्ने योजना बनाएको छैन, किनकि यसले सम्झौताका पक्षहरूलाई थप जिम्मेवारी थोपर्छ, उनीहरूलाई स्वतन्त्रताबाट वञ्चित गर्छ र अर्को प्रमाणीकरण प्राधिकरणको सबै प्रक्रिया र नियमहरूको अनुपालनको सन्दर्भमा उनीहरूको हात बाँध्छ। तर एन्ड्रोइड उपकरणहरूको ठूलो संख्यामा सम्भावित समस्याहरूको कारण, योजना परिमार्जन गरिएको थियो। IdenTrust प्रमाणीकरण प्राधिकरणसँग नयाँ सम्झौता सम्पन्न भएको थियो, जसको ढाँचा भित्र वैकल्पिक क्रस-साइन गरिएको Let's Encrypt मध्यवर्ती प्रमाणपत्र सिर्जना गरिएको थियो। क्रस-हस्ताक्षर तीन वर्षको लागि मान्य हुनेछ र संस्करण 2.3.6 बाट सुरु हुने Android उपकरणहरूको लागि समर्थन कायम राख्नेछ।

यद्यपि, नयाँ मध्यवर्ती प्रमाणपत्रले अन्य धेरै विरासत प्रणालीहरू समावेश गर्दैन। उदाहरणका लागि, सेप्टेम्बर 3 मा DST Root CA X30 प्रमाणपत्रको बहिष्कारसँगै, Let's Encrypt प्रमाणपत्रहरू अब समर्थन नगर्ने फर्मवेयर र अपरेटिङ सिस्टमहरूमा स्वीकार गरिने छैन जसमा ISRG Root X1 प्रमाणपत्र म्यानुअल रूपमा रूट सर्टिफिकेट स्टोरमा थप्न आवश्यक छ। एन्क्रिप्ट प्रमाणपत्रहरू। समस्याहरू आफैंमा प्रकट हुनेछन्:

ओपनएसएसएल शाखा १.०.२ सम्म समावेशी (शाखा १.०.२ को मर्मत सम्भार डिसेम्बर २०१९ मा बन्द गरिएको थियो);
NSS <3.26;
Java 8 < 8u141, Java 7 < 7u151;
विन्डोज < XP SP3;
macOS <10.12.1;
iOS <10 (iPhone <5);
एन्ड्रोइड < 2.3.6;
मोजिला फायरफक्स <50;
Ubuntu <16.04;
डेबियन <8।

OpenSSL 1.0.2 को मामलामा, समस्याले क्रस-हस्ताक्षरित प्रमाणपत्रहरूलाई सही तरिकाले प्रशोधन गर्नबाट रोक्छ यदि हस्ताक्षरको लागि प्रयोग गरिएको मूल प्रमाणपत्रहरू मध्ये एकको म्याद समाप्त हुन्छ, विश्वासको अन्य वैध श्रृंखलाहरू रहँदा पनि। Sectigo (Comodo) प्रमाणीकरण प्राधिकरणबाट क्रस-साइन प्रमाणपत्रहरू गर्न प्रयोग गरिने AddTrust प्रमाणपत्र अप्रचलित भएपछि समस्या पहिलो पटक गत वर्ष देखा पर्‍यो। समस्याको जड यो हो कि OpenSSL ले प्रमाणपत्रलाई रैखिक चेनको रूपमा पार्स गर्यो, जबकि RFC 4158 अनुसार, प्रमाणपत्रले धेरै ट्रस्ट एन्करहरूसँग निर्देशित वितरित गोलाकार ग्राफ प्रतिनिधित्व गर्न सक्छ जुन खातामा लिनु आवश्यक छ।

OpenSSL 1.0.2 मा आधारित पुराना वितरणका प्रयोगकर्ताहरूलाई समस्या समाधान गर्न तीनवटा समाधान प्रस्ताव गरिएको छ:

म्यानुअल रूपमा IdenTrust DST Root CA X3 रूट प्रमाणपत्र हटाइयो र स्ट्यान्ड-अलोन (क्रस-साइन गरिएको छैन) ISRG रूट X1 रूट प्रमाणपत्र स्थापना गरियो।
Openssl verify र s_client आदेशहरू चलाउँदा, तपाईंले "-trusted_first" विकल्प निर्दिष्ट गर्न सक्नुहुन्छ।
सर्भरमा एक अलग रूट प्रमाणपत्र SRG रूट X1 द्वारा प्रमाणित प्रमाणपत्र प्रयोग गर्नुहोस्, जसमा क्रस-हस्ताक्षर छैन। यस विधिले पुराना एन्ड्रोइड ग्राहकहरूसँग अनुकूलता गुमाउनेछ।

थप रूपमा, हामी नोट गर्न सक्छौं कि Let's Encrypt परियोजनाले दुई अरब उत्पन्न प्रमाणपत्रहरूको कोसेढुङ्गा पार गरेको छ। गत वर्ष फेब्रुअरीमा एक अर्बको कोसेढुङ्गा पुगेको थियो। दैनिक २.२-२.४ मिलियन नयाँ प्रमाणपत्रहरू उत्पन्न हुन्छन्। सक्रिय प्रमाणपत्रहरूको संख्या 2.2 मिलियन छ (एक प्रमाणपत्र तीन महिनाको लागि मान्य छ) र लगभग 2.4 मिलियन डोमेनहरू (192 मिलियन डोमेनहरू एक वर्ष पहिले, 260 मिलियन दुई वर्ष पहिले, 195 मिलियन तीन वर्ष अघि) कभर गरिएको छ। फायरफक्स टेलिमेट्री सेवाको तथ्याङ्क अनुसार, HTTPS मार्फत पृष्ठ अनुरोधहरूको विश्वव्यापी साझेदारी 150% (एक वर्ष पहिले - 60%, दुई वर्ष पहिले - 82%, तीन वर्ष पहिले - 81%, चार वर्ष पहिले - 77%) हो।

स्रोत: opennet.ru

IdenTrust रूट प्रमाणपत्रको म्याद सकिएपछि पुराना यन्त्रहरूमा चलो इन्क्रिप्टमा विश्वास गुम्ने छ।

एक टिप्पणी थप्न Отменить ответ