Pentru ca un browser să autentifice un site web, acesta se prezintă cu un lanț de certificate valid. Un lanț tipic este prezentat mai sus și poate exista mai multe certificate intermediare. Numărul minim de certificate într-un lanț valid este de trei.
Certificatul rădăcină este inima autorității de certificare. Este literalmente încorporat în sistemul de operare sau browser, este prezent fizic pe dispozitiv. Nu poate fi schimbat din partea serverului. Este necesară o actualizare forțată a sistemului de operare sau a firmware-ului pe dispozitiv.
Specialistul în securitate Scott Helme
Certificatele finale și intermediare ale autorității de certificare (CA) sunt livrate clientului de pe server, iar certificatul rădăcină este de la client deja au, deci cu această colecție de certificate se poate construi un lanț și autentifica un site web.
Problema este că fiecare certificat are o dată de expirare, după care trebuie înlocuit. De exemplu, începând cu 1 septembrie 2020, ei plănuiesc să introducă o limitare a perioadei de valabilitate a certificatelor TLS de server în browserul Safari
Aceasta înseamnă că toți va trebui să ne înlocuim certificatele de server cel puțin la fiecare 12 luni. Această restricție se aplică numai certificatelor de server; nu se aplică certificatelor CA rădăcină.
Certificatele CA sunt guvernate de un set diferit de reguli și, prin urmare, au limite de valabilitate diferite. Este foarte frecvent să găsiți certificate intermediare cu o perioadă de valabilitate de 5 ani și certificate rădăcină cu o durată de viață chiar și de 25 de ani!
De obicei nu există probleme cu certificatele intermediare, deoarece acestea sunt furnizate clientului de către server, care el însuși își schimbă mult mai des propriul certificat, așa că pur și simplu îl înlocuiește pe cel intermediar în proces. Este destul de ușor să îl înlocuiți împreună cu certificatul de server, spre deosebire de certificatul CA rădăcină.
După cum am spus deja, CA rădăcină este construită direct în dispozitivul client în sine, în sistemul de operare, browser sau alt software. Modificarea CA rădăcină este în afara controlului site-ului web. Acest lucru necesită o actualizare a clientului, fie că este vorba despre o actualizare de sistem de operare sau software.
Unele CA root există de foarte mult timp, vorbim de 20-25 de ani. În curând, unele dintre cele mai vechi CA rădăcină se vor apropia de sfârșitul vieții lor naturale, timpul lor este aproape de expirare. Pentru cei mai mulți dintre noi, aceasta nu va fi deloc o problemă, deoarece CA-urile au creat noi certificate rădăcină și au fost distribuite în întreaga lume în actualizări de sistem de operare și browser de mulți ani. Dar dacă cineva nu și-a actualizat sistemul de operare sau browserul de foarte mult timp, este un fel de problemă.
Această situație a avut loc pe 30 mai 2020 la ora 10:48:38 GMT. Acesta este momentul exact când
A fost folosit pentru semnarea încrucișată pentru a asigura compatibilitatea cu dispozitivele vechi care nu au noul certificat rădăcină USERTrust în magazinul lor.
Din păcate, problemele au apărut nu numai în browserele vechi, ci și în clienții non-browser bazați pe OpenSSL 1.0.x, LibreSSL și
S-a presupus că problema ar afecta numai sistemele vechi (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 etc.), deoarece browserele moderne pot folosi al doilea certificat rădăcină USERTRust. Dar, de fapt, eșecurile au început în sute de servicii web care au folosit bibliotecile gratuite OpenSSL 1.0.x și GnuTLS. O conexiune securizată nu a mai putut fi stabilită cu un mesaj de eroare care indică faptul că certificatul nu este actualizat.
Următorul - Să criptăm
Un alt exemplu bun al viitoarei modificări CA rădăcină este autoritatea de certificare Let's Encrypt. Mai mult
„Din cauza preocupărilor legate de lipsa adoptării rădăcinii ISRG pe dispozitivele Android, am decis să mutăm data de tranziție la rădăcina nativă de la 8 iulie 2019 la 8 iulie 2020”, a spus Let's Encrypt într-un comunicat.
Data a trebuit să fie amânată din cauza unei probleme numite „propagare rădăcină”, sau mai exact, lipsei propagării rădăcină, când CA rădăcină nu este foarte larg distribuită pe toți clienții.
Let's Encrypt utilizează în prezent un certificat intermediar cu semnătură încrucișată înlănțuit la IdenTrust DST Root CA X3. Acest certificat rădăcină a fost emis în septembrie 2000 și expiră pe 30 septembrie 2021. Până atunci, Let's Encrypt intenționează să migreze la propriul său ISRG Root X1, autosemnat.
Rădăcina ISRG a fost lansată pe 4 iunie 2015. După aceasta, a început procesul de aprobare a acesteia ca autoritate de certificare, care s-a încheiat
Dar asta e problema.
Dacă telefonul tău mobil, televizorul sau alt dispozitiv nu a fost actualizat timp de doi ani, de unde va ști despre noul certificat rădăcină ISRG Root X1? Și dacă nu îl instalați pe sistem, atunci dispozitivul dvs. va invalida toate certificatele de server Let's Encrypt de îndată ce Let's Encrypt trece la o nouă rădăcină. Și în ecosistemul Android există multe dispozitive învechite care nu au fost actualizate de mult.
Ecosistem Android
Acesta este motivul pentru care Let's Encrypt a întârziat trecerea la propria rădăcină ISRG și încă folosește un intermediar care coboară la rădăcina IdenTrust. Dar tranziția va trebui făcută în orice caz. Și data schimbării rădăcinii este atribuită
Pentru a verifica dacă ISRG X1 root este instalat pe dispozitivul dvs. (TV, set-top box sau alt client), deschideți site-ul de testare
Let's Encrypt nu este singurul care se confruntă cu provocarea de a migra la o nouă rădăcină. Criptografia pe Internet a început să fie folosită cu puțin peste 20 de ani în urmă, așa că acum este momentul în care multe certificate rădăcină sunt pe cale să expire.
Proprietarii de televizoare inteligente care nu au actualizat software-ul Smart TV de mulți ani se pot confrunta cu această problemă. De exemplu, noua rădăcină GlobalSign
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Intermediar) GlobalSign Root CA - R5 (Intermediar) GlobalSign Root CA - R3 (Intermediar)
Aceasta este o soluție temporară. Problema nu va dispărea decât dacă actualizați software-ul client. Un televizor inteligent este în esență un computer cu funcționalități limitate care rulează Linux. Și fără actualizări, certificatele sale rădăcină vor deveni inevitabil putrezite.
Acest lucru se aplică tuturor dispozitivelor, nu doar televizoarelor. Dacă aveți orice dispozitiv care este conectat la Internet și care a fost promovat ca un dispozitiv „inteligent”, atunci problema cu certificatele putrezite îl privește aproape sigur. Dacă dispozitivul nu este actualizat, magazinul CA rădăcină va deveni învechit în timp și, în cele din urmă, problema va apărea. Cât de repede apare problema depinde de momentul în care magazinul rădăcină a fost actualizat ultima dată. Acest lucru poate fi cu câțiva ani înainte de data reală de lansare a dispozitivului.
Apropo, aceasta este problema pentru care unele platforme media mari nu pot folosi autorități moderne de certificare automatizate precum Let's Encrypt, scrie Scott Helme. Nu sunt potrivite pentru televizoarele inteligente, iar numărul de rădăcini este prea mic pentru a garanta suportul pentru certificate pe dispozitivele vechi. În caz contrar, televizorul pur și simplu nu va putea lansa servicii de streaming moderne.
Cel mai recent incident cu AddTrust a arătat că nici măcar marile companii IT nu sunt pregătite pentru faptul că certificatul rădăcină expiră.
Există o singură soluție la problemă - actualizarea. Dezvoltatorii de dispozitive inteligente trebuie să ofere în prealabil un mecanism pentru actualizarea software-ului și a certificatelor rădăcină. Pe de altă parte, nu este rentabil pentru producători să asigure funcționarea dispozitivelor lor după expirarea perioadei de garanție.
Sursa: www.habr.com