30 سيپٽمبر تي 17:01 ماسڪو وقت تي، IdenTrust روٽ سرٽيفڪيٽ (DST Root CA X3)، جيڪو استعمال ڪيو ويو روٽ سرٽيفڪيٽ کي ڪراس-سائن ڪرڻ لاءِ Let's Encrypt سرٽيفڪيشن اٿارٽي (ISRG Root X1)، جيڪو ڪميونٽي طرفان ڪنٽرول ڪيو ويندو آهي ۽ هر ڪنهن کي مفت سرٽيفڪيٽ فراهم ڪري ٿي، ختم ٿئي ٿي. ڪراس سائننگ کي يقيني بڻايو ويو Let's Encrypt سرٽيفڪيٽن تي ڀروسو ڪيو ويو ڊوائيسز جي وسيع رينج، آپريٽنگ سسٽم ۽ برائوزرن تي جڏهن ته Let's Encrypt جو پنهنجو روٽ سرٽيفڪيٽ روٽ سرٽيفڪيٽ اسٽورن ۾ ضم ڪيو ويو.
اهو اصل ۾ رٿيو ويو هو ته ڊي ايس ٽي روٽ CA X3 کي ختم ڪرڻ کان پوء، Let's Encrypt پروجيڪٽ صرف ان جي روٽ سرٽيفڪيٽ کي استعمال ڪندي دستخط پيدا ڪرڻ تي سوئچ ڪندو، پر اهڙي حرڪت وڏي تعداد ۾ پراڻن سسٽم سان مطابقت جي نقصان جو سبب بڻجندي جيڪا نه هئي. اچو ته انڪريپٽ روٽ سرٽيفڪيٽ کي انهن جي ذخيرو ۾ شامل ڪريو. خاص طور تي، لڳ ڀڳ 30٪ Android ڊوائيسز جيڪي استعمال ۾ آهن انهن وٽ ڊيٽا نه آهي Let's Encrypt روٽ سرٽيفڪيٽ، جنهن جي حمايت صرف Android 7.1.1 پليٽ فارم سان شروع ٿي، 2016 جي آخر ۾ جاري ڪئي وئي.
اچو ته انڪريپٽ هڪ نئين ڪراس-دستخطي معاهدي ۾ داخل ٿيڻ جو منصوبو نه ڪيو، جيئن ته اهو معاهدي جي پارٽين تي اضافي ذميواري لاڳو ڪري ٿو، انهن کي آزادي کان محروم ڪري ٿو ۽ انهن جي هٿن کي سڀني طريقيڪار ۽ ٻين سرٽيفڪيشن اٿارٽي جي ضابطن جي تعميل جي لحاظ سان ڳنڍي ٿو. پر وڏي تعداد ۾ Android ڊوائيسز تي امڪاني مسئلن جي ڪري، منصوبي تي نظرثاني ڪئي وئي. هڪ نئون معاهدو IdenTrust سرٽيفڪيشن اٿارٽي سان ڪيو ويو، جنهن جي فريم ورڪ جي اندر هڪ متبادل ڪراس سائن ٿيل Let's Encrypt وچولي سرٽيفڪيٽ ٺاهي وئي. ڪراس دستخط ٽن سالن لاءِ صحيح هوندو ۽ 2.3.6 ورزن سان شروع ٿيندڙ Android ڊوائيسز لاءِ سپورٽ برقرار رکندو.
بهرحال، نئين وچولي سرٽيفڪيٽ ڪيترن ئي ٻين ورثي واري نظام کي ڍڪي نه ٿو. مثال طور، 3 سيپٽمبر تي DST روٽ CA X30 سرٽيفڪيٽ جي خارج ٿيڻ سان، Let's Encrypt سرٽيفڪيٽ هاڻي قبول نه ڪيا ويندا غير معاون فرم ویئر ۽ آپريٽنگ سسٽم جيڪي دستي طور تي ISRG Root X1 سرٽيفڪيٽ کي روٽ سرٽيفڪيٽ اسٽور ۾ شامل ڪرڻ جي ضرورت آهي انهي تي اعتماد کي يقيني بڻائڻ لاءِ. انڪرپٽ سرٽيفڪيٽ. مسئلا پاڻ ۾ ظاهر ٿيندا آهن:
- OpenSSL شاخ 1.0.2 تائين شامل آهي (شاخ 1.0.2 جي سار سنڀال ڊسمبر 2019 ۾ بند ڪئي وئي هئي)؛
- NSS <3.26;
- جاوا 8 <8u141، جاوا 7 <7u151؛
- ونڊوز < XP SP3؛
- macOS <10.12.1؛
- iOS <10 (iPhone <5)؛
- Android <2.3.6؛
- Mozilla Firefox <50;
- Ubuntu <16.04؛
- ديبين <8.
OpenSSL 1.0.2 جي صورت ۾، مسئلو هڪ بگ جي ڪري پيدا ٿئي ٿو جيڪو ڪراس-سائن ٿيل سرٽيفڪيٽن کي صحيح طريقي سان عمل ٿيڻ کان روڪي ٿو جيڪڏهن سائننگ لاءِ استعمال ٿيل روٽ سرٽيفڪيٽ مان هڪ ختم ٿي وڃي، جيتوڻيڪ اعتماد جا ٻيا صحيح زنجير باقي رهن. مسئلو پهريون ڀيرو گذريل سال سامهون آيو جڏهن AddTrust سرٽيفڪيٽ استعمال ڪيو ويو سيڪٽيگو (ڪوموڊو) سرٽيفڪيشن اٿارٽي کان ڪراس سائن سرٽيفڪيٽ لاءِ استعمال ڪيو ويو ختم ٿي ويو. مسئلو جو بنيادي مسئلو اهو آهي ته OpenSSL سرٽيفڪيٽ کي لڪير زنجير جي طور تي پارس ڪيو، جڏهن ته RFC 4158 جي مطابق، هڪ سرٽيفڪيٽ ڪيترن ئي اعتماد واري اينڪرز سان گڏ هڪ هدايت ٿيل ورهايل سرڪيولر گراف جي نمائندگي ڪري سگهي ٿو جنهن کي حساب ۾ رکڻ جي ضرورت آهي.
OpenSSL 1.0.2 جي بنياد تي پراڻن تقسيم جي استعمال ڪندڙن کي پيش ڪيو ويو آھي ٽي حل حل ڪرڻ لاءِ:
- دستي طور IdenTrust DST Root CA X3 روٽ سرٽيفڪيٽ کي هٽايو ۽ اسٽينڊ اڪيلو (ڪراس سائن ٿيل نه) ISRG روٽ X1 روٽ سرٽيفڪيٽ انسٽال ڪيو.
- جڏهن هلندي Openssl verify ۽ s_client ڪمانڊ، توهان وضاحت ڪري سگهو ٿا “--trusted_first” آپشن.
- سرور تي استعمال ڪريو هڪ سرٽيفڪيٽ هڪ الڳ روٽ سرٽيفڪيٽ SRG Root X1 پاران تصديق ٿيل آهي، جنهن ۾ ڪراس دستخط نه آهي. اهو طريقو پراڻن Android ڪلائنٽ سان مطابقت جي نقصان کي ڏسندو.
اضافي طور تي، اسان اهو نوٽ ڪري سگهون ٿا ته Let's Encrypt پروجيڪٽ ٻه بلين ٺاهيل سرٽيفڪيٽن جي سنگ ميل کي پار ڪري چڪو آهي. هڪ ارب جو سنگ ميل گذريل سال فيبروري ۾ پهچي ويو. 2.2-2.4 ملين نوان سرٽيفڪيٽ روزانه ٺاهي رهيا آهن. فعال سرٽيفڪيٽن جو تعداد 192 ملين آهي (هڪ سرٽيفڪيٽ ٽن مهينن لاءِ صحيح آهي) ۽ اٽڪل 260 ملين ڊومينز تي مشتمل آهي (195 ملين ڊومينز هڪ سال اڳ ڍڪيل هئا، 150 ملين ٻه سال اڳ، 60 ملين ٽي سال اڳ). Firefox Telemetry سروس جي انگن اکرن موجب، HTTPS ذريعي صفحي جي درخواستن جو عالمي حصيداري 82٪ آهي (هڪ سال اڳ - 81٪، ٻه سال اڳ - 77٪، ٽي سال اڳ - 69٪، چار سال اڳ - 58٪).
جو ذريعو: opennet.ru