ويب سائيٽ جي تصديق ڪرڻ لاءِ هڪ برائوزر لاءِ، اهو پاڻ کي پيش ڪري ٿو هڪ صحيح سرٽيفڪيٽ زنجير سان. ھڪڙو عام سلسلو مٿي ڏيکاريل آھي، ۽ ھڪڙي کان وڌيڪ وچولي سرٽيفڪيٽ ٿي سگھي ٿي. ھڪ صحيح زنجير ۾ سرٽيفڪيٽن جو گھٽ ۾ گھٽ تعداد ٽي آھي.
روٽ سرٽيفڪيٽ سرٽيفڪيٽ اٿارٽي جي دل آهي. اهو لفظي طور تي توهان جي او ايس يا برائوزر ۾ ٺهيل آهي، اهو جسماني طور تي توهان جي ڊوائيس تي موجود آهي. اهو سرور جي پاسي کان تبديل نه ٿو ڪري سگھجي. ڊوائيس تي OS يا firmware جي زبردستي تازه ڪاري جي ضرورت آهي.
سيڪيورٽي ماهر سکاٽ هيلم ، ته بنيادي مسئلا پيدا ٿيندا Let’s Encrypt سرٽيفڪيشن اٿارٽي سان، ڇو ته اڄ اهو انٽرنيٽ تي سڀ کان وڌيڪ مشهور CA آهي، ۽ ان جو روٽ سرٽيفڪيٽ جلد ئي ”گرم“ ٿيندو. اچو ته انڪريپٽ روٽ کي تبديل ڪريو .
سرٽيفڪيشن اٿارٽي (CA) جي آخر ۽ وچولي سرٽيفڪيٽ ڪلائنٽ کي سرور کان پهچائي رهيا آهن، ۽ روٽ سرٽيفڪيٽ ڪلائنٽ کان آهي اڳ ۾ ئي آهي، تنهن ڪري سرٽيفڪيٽن جي هن مجموعن سان ڪو هڪ زنجير ٺاهي سگهي ٿو ۽ ويب سائيٽ جي تصديق ڪري سگهي ٿو.
مسئلو اهو آهي ته هر سرٽيفڪيٽ هڪ ختم ٿيڻ جي تاريخ آهي، جنهن کان پوء ان کي تبديل ڪرڻ جي ضرورت آهي. مثال طور، سيپٽمبر 1، 2020 کان، اهي سفاري برائوزر ۾ سرور TLS سرٽيفڪيٽ جي صحيح مدت تي هڪ حد متعارف ڪرائڻ جو ارادو رکن ٿا .
ان جو مطلب اهو آهي ته اسان سڀني کي گهٽ ۾ گهٽ هر 12 مهينن ۾ اسان جي سرور سرٽيفڪيٽ کي تبديل ڪرڻو پوندو. هي پابندي صرف سرور سرٽيفڪيٽن تي لاڳو ٿئي ٿي؛ اهو نه روٽ CA سرٽيفڪيٽ تي لاڳو ٿئي ٿو.
CA سرٽيفڪيٽ ضابطن جي مختلف سيٽن سان سنڀاليندا آهن ۽ تنهن ڪري مختلف صحيحيت جون حدون آهن. 5 سالن جي صحيح مدت سان وچولي سرٽيفڪيٽ ڳولڻ تمام عام آهي ۽ 25 سالن جي سروس جي زندگي سان روٽ سرٽيفڪيٽ!
عام طور تي وچولي سرٽيفڪيٽ سان ڪو به مسئلو ناهي، ڇاڪاڻ ته اهي ڪلائنٽ کي سرور طرفان فراهم ڪيا ويا آهن، جيڪو پاڻ پنهنجي سرٽيفڪيٽ کي گهڻو ڪري تبديل ڪري ٿو، تنهنڪري اهو صرف پروسيس ۾ وچولي کي تبديل ڪري ٿو. ان کي تبديل ڪرڻ بلڪل آسان آهي سرور سرٽيفڪيٽ سان گڏ، روٽ CA سرٽيفڪيٽ جي برعڪس.
جيئن اسان اڳ ۾ ئي چيو آهي، روٽ CA سڌو سنئون ڪلائنٽ ڊيوائس ۾، او ايس، برائوزر يا ٻئي سافٽ ويئر ۾ ٺهيل آهي. روٽ CA کي تبديل ڪرڻ ويب سائيٽ جي ڪنٽرول کان ٻاهر آهي. انهي کي ڪلائنٽ تي تازه ڪاري جي ضرورت آهي، اهو هڪ OS يا سافٽ ويئر اپڊيٽ هجي.
ڪجهه روٽ CAs تمام گهڻي وقت تائين ڀرسان آهن، اسان 20-25 سالن بابت ڳالهائي رهيا آهيون. جلد ئي ڪجهه پراڻا روٽ CAs پنهنجي فطري زندگي جي پڄاڻي تي پهچندا، انهن جو وقت لڳ ڀڳ ختم ٿي چڪو آهي. اسان مان گھڻن لاءِ اھو مسئلو ڪونھي ڇو ته CAs نوان روٽ سرٽيفڪيٽ ٺاھيا آھن ۽ اھي ڪيترن ئي سالن کان OS ۽ برائوزر اپڊيٽس ۾ پوري دنيا ۾ ورهايا ويا آھن. پر جيڪڏهن ڪنهن پنهنجي او ايس يا برائوزر کي گهڻو وقت اپڊيٽ نه ڪيو آهي، اهو هڪ قسم جو مسئلو آهي.
اها صورتحال 30 مئي 2020 تي 10:48:38 GMT تي ٿي. اهو صحيح وقت آهي جڏهن Comodo سرٽيفڪيشن اٿارٽي (Sectigo) کان.
اهو ڪراس-سائننگ لاءِ استعمال ڪيو ويو آهي انهي کي يقيني بڻائڻ لاءِ ته ليگسي ڊيوائسز سان مطابقت جنهن وٽ ناهي USERTrust روٽ سرٽيفڪيٽ انهن جي اسٽور ۾.
بدقسمتي سان، مسئلا پيدا ٿيا نه رڳو ورثي برائوزرن ۾، پر غير برائوزر ڪلائنٽ ۾ پڻ OpenSSL 1.0.x، LibreSSL ۽ . مثال طور، سيٽ ٽاپ باڪس ۾ ، خدمت , Fortinet ۾، لينڪس لاءِ .NET ڪور 2.0 پليٽ فارم تي، ايپليڪيشنن کي چارج ڪريو ۽ .
اهو فرض ڪيو ويو ته اهو مسئلو صرف ميراثي سسٽم (Android 2.3، Windows XP، Mac OS X 10.11، iOS 9، وغيره) کي متاثر ڪندو، ڇو ته جديد برائوزر ٻئي USERTRust روٽ سرٽيفڪيٽ استعمال ڪري سگهن ٿا. پر حقيقت ۾، ناڪامي شروع ٿي سوين ويب سروسز ۾ جيڪي مفت OpenSSL 1.0.x ۽ GnuTLS لائبريريون استعمال ڪن ٿيون. هڪ محفوظ ڪنيڪشن هاڻي قائم نه ٿي سگهيو آهي هڪ غلطي پيغام سان جيڪو ظاهر ڪري ٿو ته سرٽيفڪيٽ پراڻو هو.
اڳيون - اچو ته انڪرپٽ ڪريون
ايندڙ روٽ CA تبديلي جو ٻيو سٺو مثال Let’s Encrypt سرٽيفڪيٽ اٿارٽي آهي. وڌيڪ انهن Identrust زنجير کان پنهنجي ISRG روٽ چين ڏانهن تبديل ڪرڻ جو منصوبو ٺاهيو، پر اهو .
"Android ڊوائيسز تي ISRG روٽ جي دخول نه ٿيڻ بابت خدشات جي ڪري، اسان 8 جولاء 2019 کان 8 جولاء 2020 تائين اصلي روٽ جي منتقلي جي تاريخ کي منتقل ڪرڻ جو فيصلو ڪيو آهي،" چلو انڪرپٽ هڪ سرڪاري بيان ۾ چيو.
تاريخ کي ملتوي ٿيڻو پوندو هڪ مسئلي جي ڪري جنهن کي "روٽ پروپيگيشن" سڏيو ويندو آهي، يا وڌيڪ واضح طور تي، روٽ پروپيگيشن جي کوٽ، جڏهن روٽ CA تمام وڏي پئماني تي سڀني گراهڪن ۾ ورهايل نه آهي.
اچو ته انڪرپٽ في الحال استعمال ڪري ٿو هڪ ڪراس سائن ٿيل وچولي سرٽيفڪيٽ IdenTrust DST Root CA X3 سان جڙيل آهي. هي روٽ سرٽيفڪيٽ واپس سيپٽمبر 2000 ۾ جاري ڪيو ويو ۽ 30 سيپٽمبر 2021 تي ختم ٿئي ٿو. ان وقت تائين، اچو ته انڪريپٽ کي تبديل ڪرڻ جو منصوبو ٺاهيو ان جي پنهنجي خود دستخط ٿيل ISRG روٽ X1.
ISRG روٽ 4 جون 2015 تي جاري ڪئي وئي. ان کان پوء، سرٽيفڪيشن اٿارٽي جي طور تي ان جي منظوري جو عمل شروع ٿيو، جيڪو ختم ٿي ويو . هن نقطي کان، روٽ CA سڀني ڪلائنٽ لاء هڪ آپريٽنگ سسٽم يا سافٽ ويئر اپڊيٽ ذريعي دستياب هئي. توهان سڀني کي ڪرڻو هو اپڊيٽ انسٽال ڪريو.
پر اهو مسئلو آهي.
جيڪڏهن توهان جو موبائيل فون، ٽي وي يا ٻيو ڊوائيس ٻن سالن کان اپڊيٽ نه ٿيو آهي ته ان کي نئين ISRG Root X1 روٽ سرٽيفڪيٽ بابت ڪيئن خبر پوندي؟ ۽ جيڪڏهن توهان ان کي سسٽم تي انسٽال نه ڪندا ته پوءِ توهان جو ڊيوائس سڀ ليٽس انڪرپٽ سرور سرٽيفڪيٽن کي رد ڪري ڇڏيندو جيئن ئي Let's Encrypt نئين روٽ تي سوئچ ڪندو. ۽ اينڊرائيڊ ايڪو سسٽم ۾ ڪيترائي پراڻا ڊيوائسز آهن جيڪي گهڻي وقت کان اپڊيٽ نه ٿيون آهن.
Android ماحولياتي نظام
اهو ئي سبب آهي ته اچو ته انڪرپٽ دير ٿي وڃي ان جي پنهنجي ISRG روٽ ڏانهن ۽ اڃا تائين هڪ وچولي استعمال ڪري ٿو جيڪو IdenTrust روٽ ڏانهن وڃي ٿو. پر منتقلي کي هر صورت ۾ ڪرڻو پوندو. ۽ روٽ تبديلي جي تاريخ مقرر ڪئي وئي آهي .
چيڪ ڪرڻ لاءِ ته ISRG X1 روٽ توهان جي ڊوائيس تي نصب ٿيل آهي (ٽي وي، سيٽ ٽاپ باڪس يا ٻيو ڪلائنٽ)، کوليو ٽيسٽ سائيٽ . جيڪڏهن ڪو به سيڪيورٽي ڊيڄاريندڙ ظاهر نه ٿئي، پوء هر شيء عام طور تي ٺيڪ آهي.
اچو ته انڪريپٽ صرف هڪ ئي ناهي جيڪو نئين روٽ ڏانهن لڏپلاڻ جي چئلينج کي منهن ڏئي ٿو. انٽرنيٽ تي Cryptography صرف 20 سال اڳ استعمال ٿيڻ شروع ڪيو، تنهنڪري هاڻي اهو وقت آهي جڏهن ڪيترائي روٽ سرٽيفڪيٽ ختم ٿيڻ وارا آهن.
سمارٽ ٽي وي جا مالڪ جن ڪيترن سالن کان سمارٽ ٽي وي سافٽ ويئر اپ ڊيٽ نه ڪيو آهي اهي شايد هن مسئلي کي منهن ڏئي سگهن. مثال طور، نئون GlobalSign روٽ 2012 ۾ جاري ڪيو ويو، ۽ ڪجھ پراڻن اسمارٽ ٽي ويز کان پوء ان کي زنجير ٺاھي نه سگھندا آھن، ڇاڪاڻتہ اھي رڳو ھي روٽ CA نه آھن. خاص طور تي، اهي گراهڪ bbc.co.uk ويب سائيٽ سان محفوظ ڪنيڪشن قائم ڪرڻ ۾ ناڪام رهيا. مسئلي کي حل ڪرڻ لاء، بي بي سي جي منتظمين کي هڪ چال جو استعمال ڪرڻو پيو: اهي اضافي وچولي سرٽيفڪيٽ ذريعي، پراڻي روٽ استعمال ڪندي и جيڪي اڃا سڙي نه سگهيا آهن.
www.bbc.co.uk (ليف) GlobalSign ECC OV SSL CA 2018 (انٽرميڊيٽ) گلوبل سائن روٽ CA - R5 (انٽرميڊيٽ) GlobalSign Root CA - R3 (انٽرميڊيٽ)
هي هڪ عارضي حل آهي. مسئلو پري نه ٿيندو جيستائين توهان ڪلائنٽ سافٽ ويئر کي اپڊيٽ نه ڪندا. هڪ سمارٽ ٽي وي بنيادي طور تي هڪ محدود ڪارڪردگي وارو ڪمپيوٽر آهي جيڪو لينڪس هلائي ٿو. ۽ بغير تازه ڪاري، ان جا روٽ سرٽيفڪيٽ ناگزير طور تي خراب ٿي ويندا.
اهو سڀني ڊوائيسز تي لاڳو ٿئي ٿو، نه رڳو ٽي وي. جيڪڏهن توهان وٽ ڪو به ڊوائيس آهي جيڪو انٽرنيٽ سان ڳنڍيل آهي ۽ اهو "سمارٽ" ڊوائيس جي طور تي اشتهار ڏنو ويو آهي، پوء خراب ٿيل سرٽيفڪيٽ سان مسئلو تقريبن ضرور ان بابت خدشو آهي. جيڪڏهن ڊوائيس اپڊيٽ نه ڪئي وئي آهي، روٽ CA اسٽور وقت سان ختم ٿي ويندو ۽ آخرڪار مسئلو سطح تي ٿيندو. مسئلو ڪيترو جلدي ٿئي ٿو ان تي منحصر آهي جڏهن روٽ اسٽور آخري ڀيرو اپڊيٽ ڪيو ويو. اهو ٿي سگهي ٿو ڪيترائي سال اڳ ڊوائيس جي حقيقي ڇڏڻ جي تاريخ.
رستي ۾، اهو مسئلو آهي ڇو ته ڪجهه وڏا ميڊيا پليٽ فارم جديد خودڪار سرٽيفڪيٽ اختيارين کي استعمال نٿا ڪري سگهن جهڙوڪ Let's Encrypt، Scott Helme لکي ٿو. اهي سمارٽ ٽي ويز لاءِ موزون نه آهن، ۽ جڙڙن جو تعداد تمام ننڍو آهي ته جيئن ميراثي ڊوائيسز تي سرٽيفڪيٽ سپورٽ جي ضمانت ڏئي سگهجي. ٻي صورت ۾، ٽي وي صرف جديد اسٽريمنگ سروسز شروع ڪرڻ جي قابل نه هوندا.
AddTrust سان گڏ تازو واقعو اهو ظاهر ڪيو ته ايستائين وڏيون آئي ٽي ڪمپنيون ان حقيقت لاءِ تيار نه آهن ته روٽ سرٽيفڪيٽ ختم ٿي وڃي.
مسئلو جو صرف هڪ حل آهي - تازه ڪاري. سمارٽ ڊوائيسز جي ڊولپرز کي لازمي طور تي سافٽ ويئر ۽ روٽ سرٽيفڪيٽ کي اپڊيٽ ڪرڻ لاء هڪ ميکانيزم مهيا ڪرڻ گهرجي. ٻئي طرف، ٺاهيندڙن لاء اهو منافعو نه آهي ته وارنٽي جي مدت ختم ٿيڻ کان پوء انهن جي ڊوائيس جي آپريشن کي يقيني بڻائي.
جو ذريعو: www.habr.com