සැප්තැම්බර් 30 වන දින මොස්කව් වේලාවෙන් 17:01 ට, ප්රජාව විසින් පාලනය කරනු ලබන Let's Encrypt සහතික කිරීමේ අධිකාරියේ (ISRG Root X3) මූල සහතිකය හරස් අත්සන් කිරීමට භාවිතා කරන ලද IdenTrust මූල සහතිකය (DST Root CA X1). සෑම කෙනෙකුටම නොමිලේ සහතික ලබා දෙයි, කල් ඉකුත් වේ. හරස්-අත්සන් කිරීම මඟින් Let's Encrypt සහතික පුළුල් පරාසයක උපාංග, මෙහෙයුම් පද්ධති සහ බ්රවුසර හරහා විශ්වාස කරන බව සහතික කරන අතර Let's Encrypt's ගේම root සහතිකය root සහතික ගබඩාවලට ඒකාබද්ධ විය.
DST Root CA X3 ක්ෂය වීමෙන් පසුව, Let's Encrypt ව්යාපෘතිය එහි මූල සහතිකය පමණක් භාවිතා කරමින් අත්සන් උත්පාදනය කිරීමට මාරු වනු ඇතැයි මුලින් සැලසුම් කරන ලදී, නමුත් එවැනි පියවරක් පැරණි පද්ධති විශාල සංඛ්යාවක් සමඟ ගැළපුම නැති වීමට හේතු වේ. අපි ඔවුන්ගේ ගබඩාවලට මූල සහතිකය සංකේතනය කරමු. විශේෂයෙන්, භාවිතයේ ඇති Android උපාංගවලින් ආසන්න වශයෙන් 30% කට පමණ Let's Encrypt root සහතිකයේ දත්ත නොමැත, ඒ සඳහා සහය දැක්වීම 7.1.1 අවසානයේ නිකුත් කරන ලද Android 2016 වේදිකාවෙන් ආරම්භ වේ.
අපි Encrypt නව හරස් අත්සන් ගිවිසුමකට එළැඹීමට සැලසුම් කළේ නැත, මෙය ගිවිසුමේ පාර්ශ්වයන්ට අමතර වගකීමක් පටවන බැවින්, ඔවුන්ට ස්වාධීනත්වය අහිමි වන අතර වෙනත් සහතික කිරීමේ අධිකාරියක සියලුම ක්රියා පටිපාටි සහ නීතිරීතිවලට අනුකූලව ඔවුන්ගේ දෑත් බැඳ තබයි. නමුත් ඇන්ඩ්රොයිඩ් උපාංග විශාල සංඛ්යාවක ඇති විය හැකි ගැටළු හේතුවෙන් සැලැස්ම සංශෝධනය කරන ලදී. IdenTrust සහතික කිරීමේ අධිකාරිය සමඟ නව ගිවිසුමක් අවසන් කරන ලද අතර, එහි රාමුව තුළ විකල්ප හරස් අත්සන් සහිත Let's Encrypt අතරමැදි සහතිකයක් නිර්මාණය කරන ලදී. හරස් අත්සන වසර තුනක් සඳහා වලංගු වන අතර 2.3.6 අනුවාදයෙන් ආරම්භ වන ඇන්ඩ්රොයිඩ් උපාංග සඳහා සහය පවත්වාගෙන යනු ඇත.
කෙසේ වෙතත්, නව අතරමැදි සහතිකය වෙනත් බොහෝ උරුම පද්ධති ආවරණය නොවේ. උදාහරණයක් ලෙස, DST Root CA X3 සහතිකය සැප්තැම්බර් 30 දින අවලංගු වූ විට, අපි සහතික සංකේතනය කරමු සහතිකය කෙරෙහි විශ්වාසය සහතික කිරීම සඳහා ISRG Root X1 සහතිකය root සහතික ගබඩාවට අතින් එකතු කිරීම අවශ්ය වන සහය නොදක්වන ස්ථිරාංග සහ මෙහෙයුම් පද්ධති මත ලේඛන සංකේතනය තවදුරටත් පිළිගනු නොලැබේ. . ගැටළු ප්රකාශ වනු ඇත:
- OpenSSL ශාඛාව 1.0.2 ඇතුළුව ශාඛාව දක්වා (1.0.2 ශාඛාව නඩත්තු කිරීම 2019 දෙසැම්බර් මාසයේදී නතර කරන ලදී);
- NSS <3.26;
- ජාවා 8 < 8u141, ජාවා 7 < 7u151;
- Windows < XP SP3;
- macOS <10.12.1;
- iOS <10 (iPhone <5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- උබුන්ටු <16.04;
- ඩේබියන් <8.
OpenSSL 1.0.2 වලදී, වෙනත් වලංගු විශ්වාස දාමයන් පැවතුනද, අත්සන් කිරීම සඳහා භාවිතා කරන ලද එක් මූල සහතිකයක් කල් ඉකුත් වුවහොත් හරස් අත්සන් කරන ලද සහතික නිවැරදිව සැකසීමෙන් වලක්වන දෝෂයක් නිසා ගැටළුව ඇතිවේ. ගැටලුව මුලින්ම මතු වූයේ පසුගිය වසරේ Sectigo (Comodo) සහතික කිරීමේ අධිකාරියේ හරස් අත්සන් කිරීමට භාවිතා කරන AddTrust සහතිකය යල්පැනීමෙන් පසුවය. ගැටලුවේ හරය නම්, OpenSSL විසින් සහතිකය රේඛීය දාමයක් ලෙස විග්රහ කර ඇති අතර, RFC 4158 ට අනුව, සහතිකයක් මඟින් සැලකිල්ලට ගත යුතු බහුවිධ විශ්වාස නැංගුරම් සහිත සෘජු බෙදා හරින ලද චක්රලේඛ ප්රස්ථාරයක් නියෝජනය කළ හැක.
OpenSSL 1.0.2 මත පදනම් වූ පැරණි බෙදාහැරීම් භාවිතා කරන්නන් හට ගැටළුව විසඳීම සඳහා විසඳුම් තුනක් පිරිනමනු ලැබේ:
- IdenTrust DST Root CA X3 මූල සහතිකය අතින් ඉවත් කර ස්වාධීනව (හරස් අත්සන් නොකළ) ISRG Root X1 මූල සහතිකය ස්ථාපනය කරන ලදී.
- openssl verify සහ s_client විධානයන් ක්රියාත්මක කරන විට, ඔබට “--trusted_first” විකල්පය සඳහන් කළ හැක.
- හරස් අත්සනක් නොමැති, වෙනම මූල සහතිකයක් SRG Root X1 මගින් සහතික කරන ලද සහතිකයක් සේවාදායකයේ භාවිතා කරන්න. මෙම ක්රමය පැරණි ඇන්ඩ්රොයිඩ් සේවාදායකයින් සමඟ ගැළපුම නැති වීමට හේතු වේ.
මීට අමතරව, Let's Encrypt ව්යාපෘතිය උත්පාදනය කරන ලද සහතික බිලියන දෙකක සන්ධිස්ථානය ජයගෙන ඇති බව අපට සටහන් කළ හැකිය. බිලියනයේ සන්ධිස්ථානයට ළඟා වූයේ පසුගිය වසරේ පෙබරවාරි මාසයේදීය. දිනකට නව සහතික මිලියන 2.2-2.4 ක් ජනනය වේ. සක්රීය සහතික සංඛ්යාව මිලියන 192 ක් (සහතිකයක් මාස තුනකට වලංගු වේ) සහ වසම් මිලියන 260 ක් පමණ ආවරණය කරයි (වසර මිලියන 195 ක්, වසර දෙකකට පෙර මිලියන 150 ක්, වසර තුනකට පෙර මිලියන 60 ක් ආවරණය කර ඇත). Firefox Telemetry සේවාවේ සංඛ්යාලේඛනවලට අනුව, HTTPS හරහා පිටු ඉල්ලීම්වල ගෝලීය කොටස 82% (වසරකට පෙර - 81%, වසර දෙකකට පෙර - 77%, වසර තුනකට පෙර - 69%, වසර හතරකට පෙර - 58%).
මූලාශ්රය: opennet.ru