වෙබ් අඩවියක් සත්‍යාපනය කිරීමට බ්‍රවුසරයක් සඳහා, එය වලංගු සහතික දාමයක් සමඟින් ඉදිරිපත් වේ. සාමාන්‍ය දාමයක් ඉහත පෙන්වා ඇති අතර අතරමැදි සහතික එකකට වඩා තිබිය හැක. වලංගු දාමයක අවම සහතික ගණන තුනකි.

මූල සහතිකය සහතික අධිකාරියේ හදවතයි. එය ඔබගේ OS හෝ බ්‍රවුසරයට වචනාර්ථයෙන් ගොඩනගා ඇත, එය ඔබගේ උපාංගයේ භෞතිකව පවතී. එය සේවාදායකයේ පැත්තෙන් වෙනස් කළ නොහැක. උපාංගයේ OS හෝ ස්ථිරාංග බලහත්කාරයෙන් යාවත්කාලීන කිරීම අවශ්ය වේ.

ආරක්ෂක විශේෂඥ Scott Helme ඔහු මෙසේ ලියයි, අපි Encrypt සහතික කිරීමේ අධිකාරිය සමඟ ප්‍රධාන ගැටළු මතු වනු ඇත, මන්ද අද එය අන්තර්ජාලයේ වඩාත්ම ජනප්‍රිය CA වන අතර එහි මූල සහතිකය ඉක්මනින් නරක අතට හැරෙනු ඇත. අපි Encrypt root වෙනස් කිරීම 8 ජූලි 2020 දිනට සැලසුම් කර ඇත.

සහතික කිරීමේ අධිකාරියේ (CA) අවසාන සහ අතරමැදි සහතික සේවාදායකයෙන් සේවාදායකයා වෙත ලබා දෙන අතර මූල සහතිකය සේවාදායකයාගෙන් වේ. දැනටමත් ඇත, එබැවින් මෙම සහතික එකතුව සමඟ කෙනෙකුට දාමයක් ගොඩනගා වෙබ් අඩවියක් සත්‍යාපනය කළ හැකිය.

ගැටළුව වන්නේ සෑම සහතිකයක්ම කල් ඉකුත්වන දිනයක් තිබීමයි, ඉන් පසුව එය ප්රතිස්ථාපනය කිරීම අවශ්ය වේ. උදාහරණයක් ලෙස, සැප්තැම්බර් 1, 2020 සිට, ඔවුන් Safari බ්‍රවුසරයේ සේවාදායක TLS සහතිකවල වලංගු කාල සීමාවක් හඳුන්වා දීමට සැලසුම් කරයි. උපරිම දින 398.

මෙයින් අදහස් කරන්නේ අප සැමට අවම වශයෙන් සෑම මාස 12 කට වරක් අපගේ සේවාදායක සහතික ප්‍රතිස්ථාපනය කිරීමට සිදුවනු ඇති බවයි. මෙම සීමාව අදාළ වන්නේ සේවාදායක සහතික සඳහා පමණි; එය නෑ මූල CA සහතික සඳහා අදාළ වේ.

CA සහතික වෙනස් නීති මාලාවක් මගින් පාලනය වන අතර එබැවින් විවිධ වලංගු සීමාවන් ඇත. වසර 5 ක වලංගු කාල සීමාවක් සහිත අතරමැදි සහතික සහ වසර 25 ක සේවා කාලය සහිත මූල සහතික සොයා ගැනීම ඉතා සුලභ ය!

සාමාන්‍යයෙන් අතරමැදි සහතික සමඟ ගැටළු නොමැත, මන්ද ඒවා සේවාදායකයා විසින් සේවාදායකයාට සපයනු ලබන අතර, එයම බොහෝ විට තමන්ගේම සහතිකය වෙනස් කරයි, එබැවින් එය ක්‍රියාවලියේදී අතරමැදි එක ප්‍රතිස්ථාපනය කරයි. මූල CA සහතිකය මෙන් නොව, සේවාදායක සහතිකය සමඟ එය ප්‍රතිස්ථාපනය කිරීම තරමක් පහසුය.

අප දැනටමත් පවසා ඇති පරිදි, මූල CA සෘජුවම සේවාදායක උපාංගය තුළට, OS, බ්‍රව්සරය හෝ වෙනත් මෘදුකාංගයක් තුළට ගොඩනගා ඇත. මූල CA වෙනස් කිරීම වෙබ් අඩවියේ පාලනයෙන් ඔබ්බට ය. මේ සඳහා සේවාලාභියා පිළිබඳ යාවත්කාලීනයක් අවශ්‍ය වේ, එය මෙහෙයුම් පද්ධතියක් හෝ මෘදුකාංග යාවත්කාලීන කිරීමක් විය යුතුය.

සමහර root CAs ඉතා දිගු කාලයක් තිස්සේ පැවතුනි, අපි කතා කරන්නේ අවුරුදු 20-25 ගැන. ඉතා ඉක්මනින් පැරණිතම මූල CAs සමහරක් ඔවුන්ගේ ස්වභාවික ජීවිතයේ අවසානය කරා ළඟා වනු ඇත, ඔවුන්ගේ කාලය බොහෝ දුරට අවසන් වේ. අපෙන් බොහෝ දෙනෙකුට මෙය කිසිසේත්ම ගැටලුවක් නොවනු ඇත, මන්ද CAs නව මූල සහතික නිර්මාණය කර ඇති අතර ඒවා වසර ගණනාවක් තිස්සේ OS සහ බ්‍රවුසර යාවත්කාලීනයන් තුළ ලොව පුරා බෙදා හරිනු ලැබේ. නමුත් යමෙක් දිගු කලක් තම OS එක හෝ බ්‍රව්සරය යාවත්කාලීන කර නොමැති නම්, එය යම් ආකාරයක ගැටලුවකි.

මෙම තත්ත්වය 30 මැයි 2020 වන දින GMT 10:48:38 ට සිදු විය. මෙය හරියටම වේලාවයි AddTrust මූල සහතිකය කුණු වී ඇත Comodo සහතික කිරීමේ අධිකාරියෙන් (Sectigo).

ඔවුන්ගේ ගබඩාවේ නව USERTrust මූල සහතිකය නොමැති පැරණි උපාංග සමඟ ගැළපීම සහතික කිරීම සඳහා හරස් අත්සන් කිරීම සඳහා එය භාවිතා කරන ලදී.

අවාසනාවකට මෙන්, පැරණි බ්‍රව්සර්වල පමණක් නොව, OpenSSL 1.0.x, LibreSSL සහ මත පදනම් වූ බ්‍රවුසර නොවන සේවාලාභීන් තුළද ගැටලු මතු විය. gnuTLS. උදාහරණයක් ලෙස, සෙට්-ටොප් පෙට්ටිවල වසර, සේවය හෙරොකු, Fortinet හි, Chargify යෙදුම්, Linux සඳහා .NET Core 2.0 වේදිකාව මත සහ තවත් බොහෝ අය.

නවීන බ්‍රව්සර් වලට දෙවන USERTRust මූල සහතිකය භාවිතා කළ හැකි බැවින්, ගැටළුව ලෙගසි පද්ධති (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, ආදිය) පමණක් බලපානු ඇතැයි උපකල්පනය කරන ලදී. නමුත් ඇත්ත වශයෙන්ම, නොමිලේ OpenSSL 1.0.x සහ GnuTLS පුස්තකාල භාවිතා කළ වෙබ් සේවා සිය ගණනක අසාර්ථකත්වය ආරම්භ විය. සහතිකය යල් පැන ගිය බවට අඟවන දෝෂ පණිවිඩයක් සමඟ ආරක්ෂිත සම්බන්ධතාවයක් තවදුරටත් ස්ථාපිත කළ නොහැක.

ඊළඟට - අපි සංකේතනය කරමු

එළඹෙන මූල CA වෙනස් කිරීම සඳහා තවත් හොඳ උදාහරණයක් වන්නේ සහතික කිරීමේ අධිකාරිය අපි සංකේතනය කරමු. තව අප්රේල් 2019 දී ඔවුන් Identrust දාමයේ සිට ඔවුන්ගේම ISRG Root දාමයට මාරු වීමට සැලසුම් කර ඇත, නමුත් මෙය සිදු වී නැත.

"Android උපාංග මත ISRG root භාවිතා නොකිරීම පිළිබඳ කනස්සල්ල හේතුවෙන්, අපි දේශීය මූල සංක්‍රාන්ති දිනය 8 ජූලි 2019 සිට 8 ජූලි 2020 දක්වා ගෙන යාමට තීරණය කළෙමු," Let's Encrypt නිවේදනයක් නිකුත් කරමින් කියා සිටියේය.

"root propagation" නමින් හැඳින්වෙන ගැටලුවක් නිසා හෝ වඩාත් නිවැරදිව, root CA සියලු සේවාලාභීන් හරහා ඉතා පුළුල් ලෙස බෙදා හැර නොමැති විට මූල ප්‍රචාරණය නොමැතිකම හේතුවෙන් දිනය කල් දැමීමට සිදු විය.

අපි Encrypt දැනට භාවිතා කරන්නේ IdenTrust DST Root CA X3 වෙත සම්බන්ධ කර ඇති හරස් අත්සන් කරන ලද අතරමැදි සහතිකයකි. මෙම මූල සහතිකය 2000 සැප්තැම්බර් මාසයේදී නැවත නිකුත් කරන ලද අතර 30 සැප්තැම්බර් 2021 දින කල් ඉකුත් වේ. එතෙක්, Let's Encrypt තමන්ගේම ස්වයං අත්සන් කළ ISRG Root X1 වෙත සංක්‍රමණය වීමට සැලසුම් කරයි.

ISRG root 4 ජුනි 2015 දින නිකුත් කරන ලදී. මෙයින් පසු, සහතික කිරීමේ අධිකාරියක් ලෙස එය අනුමත කිරීමේ ක්‍රියාවලිය ආරම්භ වූ අතර එය අවසන් විය 6 අගෝස්තු 2018 වර්ෂය. මෙතැන් සිට, මූල CA මෙහෙයුම් පද්ධතියක් හෝ මෘදුකාංග යාවත්කාලීනයක් හරහා සියලුම සේවාදායකයින්ට ලබා ගත හැකි විය. ඔබට කළ යුතුව තිබුණේ යාවත්කාලීනය ස්ථාපනය කිරීමයි.

නමුත් ගැටලුව එයයි.

ඔබගේ ජංගම දුරකථනය, රූපවාහිනිය හෝ වෙනත් උපාංගය වසර දෙකක් තිස්සේ යාවත්කාලීන කර නොමැති නම්, එය නව ISRG Root X1 මූල සහතිකය ගැන දැන ගන්නේ කෙසේද? තවද ඔබ එය පද්ධතිය මත ස්ථාපනය නොකරන්නේ නම්, එවිට ඔබගේ උපාංගය Let's Encrypt නව මූලයකට මාරු වූ වහාම සියලුම Let's Encrypt සේවාදායක සහතික අවලංගු කරනු ඇත. තවද ඇන්ඩ්‍රොයිඩ් පරිසර පද්ධතිය තුළ දිගු කලක් යාවත්කාලීන නොවූ බොහෝ යල් පැන ගිය උපාංග තිබේ.

Android පරිසර පද්ධතිය

මේ නිසා අපි Encrypt තමන්ගේම ISRG මූලයට යාම ප්‍රමාද කළ අතර තවමත් IdenTrust මූලයට යන අතරමැදියක් භාවිතා කරයි. නමුත් ඕනෑම අවස්ථාවක සංක්රමණය කිරීමට සිදුවනු ඇත. සහ මූල වෙනස් කිරීමේ දිනය නියම කර ඇත 8 ජූලි 2020 අවුරුදු.

ISRG X1 root ඔබගේ උපාංගයේ (TV, set-top box හෝ වෙනත් සේවාලාභියා) ස්ථාපනය කර ඇත්දැයි පරීක්ෂා කිරීමට, පරීක්ෂණ අඩවිය විවෘත කරන්න https://valid-isrgrootx1.letsencrypt.org/. ආරක්ෂක අනතුරු ඇඟවීමක් නොපෙන්වන්නේ නම්, සාමාන්යයෙන් සියල්ල හොඳයි.

නව මූලයකට සංක්‍රමණය වීමේ අභියෝගයට මුහුණ දෙන්නේ Let's Encrypt පමණක් නොවේ. අන්තර්ජාලයේ ගුප්තකේතනය වසර 20 කට පමණ පෙර භාවිතා කිරීමට පටන් ගත්තේය, එබැවින් දැන් බොහෝ මූල සහතික කල් ඉකුත් වීමට ආසන්න කාලයයි.

වසර ගණනාවක් ස්මාර්ට් ටීවී මෘදුකාංගය යාවත්කාලීන නොකළ ස්මාර්ට් ටීවී හිමිකරුවන් මෙම ගැටලුවට මුහුණ දිය හැකිය. උදාහරණයක් ලෙස, නව GlobalSign root R5 මූල 2012 දී නිකුත් කරන ලද අතර, සමහර පැරණි Smart TV වලට පසුව එයට දාමයක් ගොඩනගා ගත නොහැක, මන්ද ඒවාට මෙම මූල CA නොමැති බැවිනි. විශේෂයෙන්ම, මෙම ගනුදෙනුකරුවන්ට bbc.co.uk වෙබ් අඩවියට ආරක්ෂිත සම්බන්ධතාවයක් ඇති කර ගැනීමට නොහැකි විය. ගැටළුව විසඳීම සඳහා, බීබීසී පරිපාලකයින්ට උපක්‍රමයක් භාවිතා කිරීමට සිදු විය: ඔවුන් අපි මෙම ගනුදෙනුකරුවන් සඳහා විකල්ප දාමයක් ගොඩනඟමු පැරණි මූලයන් භාවිතා කරමින් අතිරේක අතරමැදි සහතික හරහා R3 මූල и R1 මූල, තවමත් කුණු වී නැති.

www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (අතරමැදි) GlobalSign Root CA - R5 (අතරමැදි) GlobalSign Root CA - R3 (අතරමැදි)

මෙය තාවකාලික විසඳුමකි. ඔබ සේවාදායක මෘදුකාංග යාවත්කාලීන කරන්නේ නම් මිස ගැටලුව පහව යන්නේ නැත. Smart TV යනු ලිනක්ස් ධාවනය වන සීමිත ක්‍රියාකාරී පරිගණකයකි. යාවත්කාලීන කිරීම් නොමැතිව, එහි මූල සහතික අනිවාර්යයෙන්ම කුණු වනු ඇත.

මෙය රූපවාහිනියට පමණක් නොව සියලුම උපාංගවලට අදාළ වේ. ඔබ සතුව අන්තර්ජාලයට සම්බන්ධ වී ඇති සහ "ස්මාර්ට්" උපාංගයක් ලෙස ප්‍රචාරණය කරන ලද කිසියම් උපාංගයක් තිබේ නම්, නරක් වූ සහතික පිළිබඳ ගැටළුව නිසැකවම එයට අදාළ වේ. උපාංගය යාවත්කාලීන කර නොමැති නම්, root CA ගබඩාව කාලයත් සමඟ යල් පැන ගිය අතර අවසානයේ ගැටලුව මතු වනු ඇත. ගැටලුව කෙතරම් ඉක්මනින් සිදුවේද යන්න රඳා පවතින්නේ මූල ගබඩාව අවසන් වරට යාවත්කාලීන කරන ලද්දේ කවදාද යන්න මතය. මෙය උපාංගයේ සැබෑ මුදා හැරීමේ දිනයට වසර කිහිපයකට පෙර විය හැකිය.

මාර්ගය වන විට, සමහර විශාල මාධ්‍ය වේදිකාවලට Let's Encrypt වැනි නවීන ස්වයංක්‍රීය සහතික අධිකාරීන් භාවිතා කළ නොහැක්කේ මෙයයි, Scott Helme ලියයි. ඒවා ස්මාර්ට් ටීවී සඳහා සුදුසු නොවන අතර, ලෙගසි උපාංගවල සහතික සහය සහතික කිරීමට මුල් ගණන ඉතා කුඩාය. එසේ නොමැති නම්, රූපවාහිනියට නවීන ප්‍රවාහ සේවා දියත් කිරීමට නොහැකි වනු ඇත.

AddTrust හි නවතම සිදුවීම පෙන්නුම් කළේ විශාල තොරතුරු තාක්ෂණ සමාගම් පවා root සහතිකය කල් ඉකුත් වන කාරණයට සූදානම් නැති බවයි.

ගැටලුවට ඇත්තේ එක් විසඳුමක් පමණි - යාවත්කාලීන කරන්න. ස්මාර්ට් උපාංග සංවර්ධකයින් විසින් මෘදුකාංග සහ මූල සහතික කල්තියා යාවත්කාලීන කිරීම සඳහා යාන්ත්‍රණයක් සැපයිය යුතුය. අනෙක් අතට, වගකීම් කාලය අවසන් වූ පසු නිෂ්පාදකයින්ට ඔවුන්ගේ උපාංගවල ක්‍රියාකාරිත්වය සහතික කිරීම ලාභදායී නොවේ.

මූලාශ්රය: www.habr.com