د ویب پاڼې د تصدیق کولو لپاره د براوزر لپاره، دا ځان د یو باوري سند سلسلې سره وړاندې کوي. یو عادي سلسله پورته ښودل شوې، او ممکن له یو څخه زیات منځګړیتوب سند ولري. په یو معتبر سلسله کې د سندونو لږترلږه شمیره درې ده.
د ریښی سند د سند واک زړه دی. دا په حقیقت کې ستاسو په OS یا براوزر کې جوړ شوی، دا په فزیکي توګه ستاسو په وسیله کې شتون لري. دا د سرور اړخ څخه نشي بدلیدلی. په وسیله کې د OS یا فرم ویئر جبري تازه کول اړین دي.
د امنیت متخصص سکاټ هیلم ، چې اصلي ستونزې به د Let's Encrypt تصدیق کولو ادارې سره رامینځته شي ، ځکه چې نن ورځ دا په انټرنیټ کې ترټولو مشهور CA دی ، او د دې ریډ سند به ډیر ژر خراب شي. د Let's Encrypt ريښي بدلول .
د تصدیق کولو واک (CA) پای او منځمهاله سندونه د سرور څخه پیرودونکي ته سپارل کیږي، او د ریډ سند د پیرودونکي څخه دی مخکې لرينو د دې سندونو ټولګه سره یو څوک کولی شي یو سلسله جوړه کړي او ویب پاڼه تصدیق کړي.
ستونزه دا ده چې هر سند د ختمیدو نیټه لري، وروسته له دې چې دا باید بدل شي. د مثال په توګه، د سپتمبر 1، 2020 څخه، دوی پالن لري چې په سفاري براوزر کې د سرور TLS سندونو د اعتبار موده محدودیت معرفي کړي. .
دا پدې مانا ده چې موږ ټول باید لږترلږه په هرو 12 میاشتو کې زموږ د سرور سندونه بدل کړو. دا محدودیت یوازې د سرور سندونو باندې پلي کیږي؛ دا نه د روټ CA سندونو باندې تطبیق کیږي.
د CA سندونه د مختلف مقرراتو لخوا اداره کیږي او له همدې امله د اعتبار مختلف حدونه لري. دا خورا عام دی چې د 5 کلونو د اعتبار مودې سره منځمهاله سندونه او حتی د 25 کلونو خدمت ژوند سره د روټ سندونه ومومئ!
معمولا د منځګړیتوب سندونو سره کومه ستونزه شتون نلري ، ځکه چې دوی پیرودونکي ته د سرور لخوا چمتو کیږي ، کوم چې پخپله خپل سند ډیر ځله بدلوي ، نو دا په ساده ډول په پروسه کې منځګړیتوب بدلوي. دا د سرور سند سره ځای په ځای کول خورا اسانه دي ، د روټ CA سند برعکس.
لکه څنګه چې موږ دمخه وویل، روټ CA په مستقیم ډول د مراجعینو وسیله، په OS، براوزر یا نورو سافټویر کې جوړ شوی. د روټ CA بدلول د ویب پاڼې له کنټرول څخه بهر دي. دا د پیرودونکي تازه کولو ته اړتیا لري ، دا د OS یا سافټویر تازه وي.
ځینې روټ CAs د اوږدې مودې لپاره شاوخوا دي، موږ د 20-25 کلونو په اړه خبرې کوو. ډیر ژر به ځینې زاړه ریښې CAs د دوی طبیعي ژوند پای ته ورسیږي، د دوی وخت نږدې دی. زموږ د ډیری لپاره دا به هیڅ ستونزه ونلري ځکه چې CAs نوي روټ سندونه رامینځته کړي او دوی د ډیری کلونو لپاره په نړۍ کې په OS او براوزر تازه معلوماتو کې توزیع شوي. مګر که چا په ډیر وخت کې خپل OS یا براوزر نه وي تازه کړی، دا یو ډول ستونزه ده.
دا وضعیت د می په 30، 2020 کې په 10:48:38 GMT کې رامنځته شو. دا دقیق وخت دی کله چې د کوموډو تصدیق کولو ادارې (Sectigo) څخه.
دا د کراس لاسلیک کولو لپاره کارول شوی ترڅو د میراث وسیلو سره مطابقت ډاډمن کړي چې د دوی په پلورنځي کې د نوي USERTrust روټ سند نلري.
له بده مرغه، ستونزې نه یوازې په میراثي براوزرونو کې رامینځته شوي، بلکې د OpenSSL 1.0.x، LibreSSL او پر بنسټ په غیر براوزر پیرودونکو کې هم . د مثال په توګه، په سیټ ټاپ بکسونو کې ، خدمت په فورټینیټ کې، د لینکس لپاره د .NET کور 2.0 پلیټ فارم کې چارج کولو غوښتنلیکونه او .
داسې انګیرل کیده چې ستونزه به یوازې په میراثي سیسټمونو اغیزه وکړي (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, etc.) ځکه چې عصري براوزر کولی شي د دویم USERTRust روټ سند وکاروي. مګر په حقیقت کې، ناکامۍ په سلګونو ویب خدماتو کې پیل شوې چې وړیا OpenSSL 1.0.x او GnuTLS کتابتونونه یې کارولي. یو خوندي پیوستون نور د خطا پیغام سره نشي رامینځته کیدی چې دا په ګوته کوي چې سند زوړ شوی.
بل - راځئ چې کوډ کړو
د راتلونکي روټ CA بدلون بله ښه بیلګه د لیټز کوډ کولو سند واک دی. نور دوی پلان درلود چې د Identrust زنځیر څخه خپل ISRG روټ سلسله ته واړوي ، مګر دا .
"په Android وسیلو کې د ISRG روټ د نه منلو په اړه د اندیښنو له امله ، موږ پریکړه کړې چې د اصلي روټ لیږد نیټه د 8 جولای 2019 څخه د 8 جولای 2020 ته واړوو ،" لیټ انکریپټ په یوه بیان کې وویل.
نیټه باید د "روټ پروپاګیشن" په نوم د یوې ستونزې له امله وځنډول شي، یا په سمه توګه، د ریښې تکثیر نشتوالی، کله چې د روټ CA په ټولو پیرودونکو کې په پراخه کچه نه ویشل کیږي.
راځئ چې کوډ کړئ اوس مهال د IdenTrust DST Root CA X3 سره ځنځیر شوی کراس لاسلیک شوی منځګړی سند کاروي. دا روټ سند د سپتمبر 2000 کې بیرته صادر شوی او د سپتمبر په 30، 2021 کې پای ته رسیږي. تر هغه وخته پورې، راځئ چې کوډ کړئ پالن لري چې خپل ځان لاسلیک شوي ISRG روټ X1 ته مهاجرت وکړي.
ISRG روټ د جون په 4، 2015 خپور شو. له دې وروسته، د تصدیق کولو ادارې په توګه د هغې د تصویب پروسه پیل شوه، چې پای ته ورسیده . له دې ځایه، روټ CA ټولو پیرودونکو ته د عملیاتي سیسټم یا سافټویر تازه کولو له لارې شتون درلود. ټول هغه څه چې تاسو یې کول باید تازه نصب کړئ.
مګر دا ستونزه ده.
که ستاسو ګرځنده تلیفون، تلویزیون یا بل وسیله د دوو کلونو لپاره تازه نه وي، نو دا به څنګه د نوي ISRG Root X1 روټ سند په اړه پوه شي؟ او که تاسو دا په سیسټم کې انسټال نه کړئ، نو ستاسو وسیله به د Let's Encrypt سرور سندونه باطل کړي کله چې لیټ انکریټ نوي روټ ته لاړ شي. او د Android ایکوسیستم کې ډیری زاړه وسیلې شتون لري چې د اوږدې مودې لپاره نوي ندي شوي.
د Android ایکوسیستم
له همدې امله راځئ چې کوډ کول ځنډوي خپل ISRG روټ ته حرکت کوي او لاهم یو منځګړی کاروي چې د IdenTrust روټ ته ځي. مګر لیږد باید په هر حالت کې ترسره شي. او د ريښي د بدلون نېټه ټاکل شوې ده .
د دې لپاره چې وګورئ چې د ISRG X1 روټ ستاسو په وسیله نصب شوی (تلویزیون، سیټ ټاپ بکس یا بل پیرودونکي)، د ازموینې سایټ خلاص کړئ . که چیرې هیڅ امنیتي خبرتیا شتون ونلري، نو بیا هرڅه سم دي.
راځئ چې کوډ کول یوازینی نه دی چې نوي ریښې ته د مهاجرت ننګونې سره مخ دی. په انټرنیټ کې کریپټوګرافي لږ څه 20 کاله دمخه کارول پیل شوي ، نو اوس هغه وخت دی کله چې ډیری روټ سندونه د پای ته رسیدو په حال کې دي.
د سمارټ تلویزیونونو مالکین چې د ډیرو کلونو لپاره د سمارټ تلویزیون سافټویر نه دی تازه کړی ممکن د دې ستونزې سره مخ شي. د مثال په توګه، نوی GlobalSign روټ په 2012 کې خپور شو، او وروسته له دې چې ځینې زاړه سمارټ تلویزیونونه نشي کولی دې ته زنځیر جوړ کړي، ځکه چې دوی په ساده ډول دا روټ CA نلري. په ځانګړې توګه، دا مشتریان ونه توانیدل چې د bbc.co.uk ویب پاڼې سره خوندي اړیکه جوړه کړي. د دې ستونزې د حل لپاره، د بي بي سي مدیران باید یو چل غوره کړي: دوی د اضافي منځنیو سندونو له لارې، د زړو ریښو په کارولو سره и ، چې لا تر اوسه نه دي خراب شوي.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (منځنی) GlobalSign Root CA - R5 (منځنی) GlobalSign Root CA - R3 (منځنی)
دا یو لنډمهاله حل دی. ستونزه به له منځه لاړ نشي تر هغه چې تاسو د پیرودونکي سافټویر تازه نه کړئ. یو سمارټ تلویزیون په اصل کې یو محدود فعالیت کمپیوټر دی چې لینکس چلوي. او پرته له تازه معلوماتو ، د دې ریښې سندونه به په لازمي ډول خراب شي.
دا په ټولو وسیلو باندې تطبیق کیږي، نه یوازې تلویزیون. که تاسو داسې وسیله لرئ چې له انټرنیټ سره وصل وي او دا د "سمارټ" وسیلې په توګه اعلان شوی و ، نو د خراب شوي سندونو ستونزه نږدې یقینا اندیښنه لري. که وسیله تازه نه وي، د روټ CA پلورنځی به د وخت په تیریدو سره زوړ شي او په پای کې به ستونزه راپورته شي. څومره ژر چې ستونزه پیښیږي پدې پورې اړه لري کله چې د روټ پلورنځی وروستی تازه شوی و. دا ممکن د وسیلې د ریښتیني خوشې کیدو نیټې څخه څو کاله دمخه وي.
په هرصورت ، دا ستونزه ده چې ولې ځینې لوی میډیا پلیټ فارمونه نشي کولی د عصري اتومات سند چارواکي لکه لیټ انکریټ وکاروي ، سکاټ هیلم لیکي. دوی د سمارټ تلویزیونونو لپاره مناسب ندي ، او د ریښو شمیر خورا کوچنی دی ترڅو په میراثي وسیلو کې د سند ملاتړ تضمین کړي. که نه نو، تلویزیون به په ساده ډول د دې توان ونلري چې عصري سټیمینګ خدمات پیل کړي.
د AddTrust سره وروستۍ پیښې وښودله چې حتی د آی ټي لوی شرکتونه د دې حقیقت لپاره چمتو ندي چې د روټ سند پای ته ورسیږي.
د ستونزې لپاره یوازې یو حل شتون لري - تازه کول. د سمارټ وسیلو پراختیا کونکي باید دمخه د سافټویر او روټ سندونو تازه کولو لپاره میکانیزم چمتو کړي. له بلې خوا ، دا د تولید کونکو لپاره ګټور ندي چې د تضمین دورې پای ته رسیدو وروسته د دوی وسیلو عملیات ډاډمن کړي.
سرچینه: www.habr.com