د سپتمبر په 30 د مسکو په وخت په 17:01 بجو، د IdenTrust روټ سند (DST Root CA X3)، کوم چې د لیټ انکریپټ تصدیق کولو ادارې (ISRG Root X1) د روټ سند لاسلیک کولو لپاره کارول کیده، کوم چې د ټولنې لخوا کنټرول کیږي او هرچا ته وړیا سندونه چمتو کوي، پای ته رسیږي. د کراس لاسلیک کولو ډاډ ترلاسه کړ چې د لیټز انکریپټ سندونه په پراخه کچه وسیلو ، عملیاتي سیسټمونو او براوزرونو کې باوري شوي پداسې حال کې چې د لیټز انکریپټ خپل روټ سند د روټ سند پلورنځیو کې مدغم شوی.
دا په اصل کې پلان شوی و چې د DST روټ CA X3 له تخریب وروسته ، د لیټ انکریپټ پروژه به یوازې د دې د روټ سند په کارولو سره لاسلیکونو رامینځته کولو ته واړوي ، مګر دا ډول اقدام به د لوی شمیر پخوانیو سیسټمونو سره مطابقت له لاسه ورکړي چې نه و. راځئ چې د دوی ذخیره کولو ته د روټ کوډ سند اضافه کړو. په ځانګړي توګه ، نږدې 30٪ د Android وسیلې کارول کیږي د Let's Encrypt روټ سند کې ډیټا نلري ، د کوم لپاره چې ملاتړ یوازې د Android 7.1.1 پلیټ فارم سره پیل شوی ، د 2016 په پای کې خپور شوی.
اجازه راکړئ انکریپټ پلان نه درلود چې د کراس لاسلیک نوي تړون ته ننوځي ، ځکه چې دا تړون ته د اړخونو اضافي مسؤلیت ورکوي ، دوی له خپلواکۍ څخه محروموي او د بل تصدیق کولو واک د ټولو طرزالعملونو او مقرراتو سره سم د دوی لاسونه وتړي. مګر په ډیری Android وسیلو کې د احتمالي ستونزو له امله ، پلان بیاکتنه شوی. یو نوی تړون د IdenTrust تصدیق کولو ادارې سره پای ته رسیدلی و، په چوکاټ کې چې د بدیل کراس لاسلیک شوي Let's Encrypt منځګړیتوب سند رامینځته شوی. د کراس لاسلیک به د دریو کلونو لپاره اعتبار ولري او د Android وسیلو لپاره به ملاتړ وساتي چې د 2.3.6 نسخه سره پیل کیږي.
په هرصورت، نوی منځمهاله سند ډیری نور میراث سیسټمونه نه پوښي. د مثال په توګه، کله چې د DST روټ CA X3 سند د سپتمبر په 30 کې رد شي، راځئ چې د کوډ کولو سندونه به نور په غیر ملاتړ شوي فرم ویئر او عملیاتي سیسټمونو کې ونه منل شي چې په لاسي ډول د روټ سند پلورنځي ته د ISRG روټ X1 سند اضافه کولو ته اړتیا لري ترڅو باور یقیني کړي چې د لیټز کوډ شوي سندونه . ستونزې به په لاندې ډول څرګند شي:
- OpenSSL تر 1.0.2 پورې ټول شموله (د څانګې 1.0.2 ساتل د دسمبر په 2019 کې بند شوي وو)؛
- NSS <3.26;
- جاوا 8 <8u141، جاوا 7 <7u151;
- وینډوز < XP SP3؛
- macOS <10.12.1;
- iOS <10 (iPhone <5);
- اندروید <2.3.6;
- موزیلا فایرفاکس <50;
- اوبنټو <16.04;
- دبیان <8.
د OpenSSL 1.0.2 په حالت کې، ستونزه د یوې بګ له امله رامینځته کیږي چې د کراس لاسلیک شوي سندونه په سمه توګه پروسس کولو مخه نیسي که چیرې د لاسلیک کولو لپاره کارول شوي د روټ سندونو څخه یو یې پای ته ورسیږي، حتی که د باور نور باوري سلسلې پاتې وي. ستونزه لومړی تیر کال وروسته له هغه راپورته شوه کله چې د AddTrust سند د سیکټیګو (کوموډو) تصدیق کولو ادارې څخه د کراس لاسلیک سندونو لپاره کارول شوی و. د ستونزې کرښه دا ده چې OpenSSL سند د خطي زنځیر په توګه تجزیه کړی ، پداسې حال کې چې د RFC 4158 په وینا ، یو سند کولی شي د ډیری باور اینکرونو سره د لارښود توزیع شوي سرکلر ګراف استازیتوب وکړي چې باید په پام کې ونیول شي.
د OpenSSL 1.0.2 پر بنسټ د زړو توزیع کاروونکو ته د ستونزې د حل لپاره درې کاري حل وړاندې کیږي:
- په لاسي ډول د IdenTrust DST Root CA X3 روټ سند لیرې کړ او د سټنډرډ واحد (نه کراس لاسلیک شوی) ISRG روټ X1 روټ سند نصب کړ.
- کله چې Openssl verify او s_client کمانډونه پرمخ وړئ، تاسو کولی شئ د "--trusted_first" اختیار مشخص کړئ.
- په سرور کې د جلا روټ سند SRG روټ X1 لخوا تصدیق شوی سند وکاروئ ، کوم چې کراس لاسلیک نلري. دا میتود به د زړو Android پیرودونکو سره د مطابقت له لاسه ورکولو لامل شي.
سربیره پردې ، موږ یادونه کولی شو چې د لیټس انکریپټ پروژه د دوه ملیارد تولید شوي سندونو مرحلې ته رسیدلې. د تیر کال په فبروري کې یو ملیارد هدف ته ورسید. هره ورځ 2.2-2.4 میلیونه نوي سندونه تولیدیږي. د فعالو سندونو شمیر 192 ملیون دی (یو سند د دریو میاشتو لپاره اعتبار لري) او شاوخوا 260 ملیون ډومینونه پوښي (195 ملیون ډومینونه یو کال دمخه پوښل شوي ، 150 ملیونه دوه کاله دمخه ، 60 ملیونه درې کاله دمخه). د فایرفوکس ټیلی میټری خدماتو د احصایو له مخې، د HTTPS له لارې د پاڼې غوښتنې نړیواله ونډه 82٪ ده (یو کال دمخه - 81٪، دوه کاله وړاندې - 77٪، درې کاله وړاندې - 69٪، څلور کاله وړاندې - 58٪).
سرچینه: opennet.ru