Aby prehliadač overil webovú stránku, prezentuje sa s platným reťazcom certifikátov. Typický reťazec je zobrazený vyššie a môže existovať viac ako jeden prechodný certifikát. Minimálny počet certifikátov v platnom reťazci sú tri.
Koreňový certifikát je srdcom certifikačnej autority. Je doslova zabudovaný do vášho operačného systému alebo prehliadača, je fyzicky prítomný vo vašom zariadení. Nedá sa zmeniť zo strany servera. Vyžaduje sa nútená aktualizácia operačného systému alebo firmvéru v zariadení.
Bezpečnostný špecialista Scott Helme , že hlavné problémy nastanú s certifikačnou autoritou Let's Encrypt, pretože dnes je to najpopulárnejšia CA na internete a jej koreňový certifikát sa čoskoro pokazí. Zmena koreňového adresára Let's Encrypt .
Koncové a prechodné certifikáty certifikačnej autority (CA) sa doručujú klientovi zo servera a koreňový certifikát je od klienta už má, takže pomocou tejto zbierky certifikátov je možné vytvoriť reťazec a overiť webovú stránku.
Problémom je, že každý certifikát má dátum vypršania platnosti, po ktorom je potrebné ho vymeniť. Napríklad od 1. septembra 2020 plánujú zaviesť obmedzenie doby platnosti serverových TLS certifikátov v prehliadači Safari .
To znamená, že všetci budeme musieť vymeniť naše serverové certifikáty aspoň každých 12 mesiacov. Toto obmedzenie sa vzťahuje iba na serverové certifikáty nie sa vzťahuje na certifikáty koreňovej CA.
Certifikáty CA sa riadia iným súborom pravidiel, a preto majú rôzne limity platnosti. Veľmi bežné je nájsť medzicertifikáty s dobou platnosti 5 rokov a koreňové certifikáty so životnosťou aj 25 rokov!
S intermediárnymi certifikátmi väčšinou nie sú žiadne problémy, pretože ich klientovi dodáva server, ktorý sám mení svoj vlastný certifikát oveľa častejšie, takže v procese jednoducho nahradí ten prostredný. Je celkom jednoduché ho nahradiť spolu s certifikátom servera, na rozdiel od koreňového certifikátu CA.
Ako sme už povedali, koreňová CA je zabudovaná priamo do samotného klientskeho zariadenia, do OS, prehliadača alebo iného softvéru. Zmena koreňovej CA je mimo kontroly webovej lokality. Vyžaduje si to aktualizáciu klienta, či už ide o aktualizáciu operačného systému alebo softvéru.
Niektoré koreňové CA existujú už veľmi dlho, hovoríme o 20-25 rokoch. Čoskoro sa niektoré z najstarších koreňových CA priblížia ku koncu svojho prirodzeného života, ich čas takmer vyprší. Pre väčšinu z nás to nebude žiadny problém, pretože certifikačné autority vytvorili nové koreňové certifikáty a sú distribuované po celom svete v aktualizáciách OS a prehliadačov už mnoho rokov. Ale ak niekto neaktualizoval svoj OS alebo prehliadač veľmi dlho, je to trochu problém.
Táto situácia nastala 30. mája 2020 o 10:48:38 GMT. Toto je presný čas, kedy od certifikačnej autority Comodo (Sectigo).
Bol použitý na krížové podpisovanie, aby sa zabezpečila kompatibilita so staršími zariadeniami, ktoré nemajú vo svojom úložisku nový koreňový certifikát USERTrust.
Bohužiaľ, problémy sa vyskytli nielen v starších prehliadačoch, ale aj v klientoch bez prehliadača založených na OpenSSL 1.0.x, LibreSSL a . Napríklad v set-top boxoch , servis , vo Fortinet, aplikácie Chargify, na platforme .NET Core 2.0 pre Linux a .
Predpokladalo sa, že problém sa bude týkať iba starších systémov (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 atď.), keďže moderné prehliadače môžu používať druhý koreňový certifikát USERTRust. V skutočnosti však zlyhania začali v stovkách webových služieb, ktoré používali bezplatné knižnice OpenSSL 1.0.xa GnuTLS. Bezpečné pripojenie už nebolo možné nadviazať s chybovým hlásením oznamujúcim, že certifikát je zastaraný.
Ďalej - Poďme šifrovať
Ďalším dobrým príkladom nadchádzajúcej zmeny koreňovej CA je certifikačná autorita Let's Encrypt. Viac plánovali prejsť z reťazca Identrust na vlastný koreňový reťazec ISRG, ale toto .
„Vzhľadom na obavy z nedostatočného prijatia koreňového adresára ISRG na zariadeniach so systémom Android sme sa rozhodli presunúť dátum prechodu natívneho koreňového adresára z 8. júla 2019 na 8. júla 2020,“ uvádza sa vo vyhlásení Let's Encrypt.
Termín sa musel posunúť kvôli problému nazývanému „rozmnožovanie koreňov“, alebo presnejšie, chýbajúce šírenie koreňov, keď koreňová CA nie je veľmi rozšírená medzi všetkých klientov.
Let's Encrypt v súčasnosti používa prechodný certifikát s krížovým podpisom priradený k IdenTrust DST Root CA X3. Tento koreňový certifikát bol vydaný už v septembri 2000 a jeho platnosť vyprší 30. septembra 2021. Dovtedy plánuje Let's Encrypt migrovať na vlastný ISRG Root X1 s vlastným podpisom.
Koreň ISRG vydaný 4. júna 2015. Potom sa začal proces jej schvaľovania ako certifikačnej autority, ktorý sa skončil . Od tohto momentu bola koreňová CA dostupná pre všetkých klientov prostredníctvom operačného systému alebo aktualizácie softvéru. Stačilo nainštalovať aktualizáciu.
Ale to je ten problém.
Ak váš mobilný telefón, televízor alebo iné zariadenie neboli aktualizované dva roky, ako sa dozvie o novom koreňovom certifikáte ISRG Root X1? A ak ho nenainštalujete do systému, vaše zariadenie zruší platnosť všetkých certifikátov servera Let's Encrypt, len čo sa Let's Encrypt prepne na nový koreňový adresár. A v ekosystéme Android je veľa zastaraných zariadení, ktoré neboli dlho aktualizované.
Ekosystém Android
To je dôvod, prečo Let's Encrypt odložil prechod do vlastného koreňového adresára ISRG a stále používa medziprodukt, ktorý siaha až ku koreňu IdenTrust. Prechod sa však bude musieť uskutočniť v každom prípade. A je priradený dátum zmeny koreňa .
Ak chcete skontrolovať, či je na vašom zariadení (TV, set-top box alebo iný klient) nainštalovaný koreňový adresár ISRG X1, otvorte testovaciu stránku . Ak sa nezobrazí žiadne bezpečnostné upozornenie, potom je všetko zvyčajne v poriadku.
Let's Encrypt nie je jediný, kto čelí výzve migrovať na nový koreňový adresár. Kryptografia na internete sa začala používať pred viac ako 20 rokmi, takže teraz je čas, keď platnosť mnohých koreňových certifikátov končí.
S týmto problémom sa môžu stretnúť majitelia inteligentných televízorov, ktorí už dlhé roky neaktualizovali softvér Smart TV. Napríklad nový koreň GlobalSign bol vydaný v roku 2012 a niektoré staré Smart TV k nemu nedokážu vybudovať reťazec, pretože jednoducho nemajú túto koreňovú CA. Týmto klientom sa najmä nepodarilo nadviazať zabezpečené pripojenie na webovú stránku bbc.co.uk. Na vyriešenie problému sa správcovia BBC museli uchýliť k triku: oni prostredníctvom dodatočných prechodných certifikátov s použitím starých koreňov и , ktoré ešte nezhnili.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (stredne pokročilý) GlobalSign Root CA - R5 (stredne pokročilý) GlobalSign Root CA - R3 (stredne pokročilý)
Toto je dočasné riešenie. Problém nezmizne, pokiaľ neaktualizujete klientsky softvér. Smart TV je v podstate počítač s obmedzenou funkčnosťou, na ktorom beží Linux. A bez aktualizácií budú jeho koreňové certifikáty nevyhnutne hnilé.
Platí to pre všetky zariadenia, nielen pre televízory. Ak máte nejaké zariadenie, ktoré je pripojené na internet a ktoré bolo propagované ako „inteligentné“, problém s prehnitými certifikátmi sa ho takmer určite týka. Ak sa zariadenie neaktualizuje, úložisko koreňovej CA bude časom zastarané a problém sa nakoniec objaví. Ako skoro sa problém vyskytne, závisí od toho, kedy bol koreňový obchod naposledy aktualizovaný. To môže byť niekoľko rokov pred skutočným dátumom vydania zariadenia.
Mimochodom, toto je problém, prečo niektoré veľké mediálne platformy nemôžu používať moderné automatizované certifikačné autority ako Let's Encrypt, píše Scott Helme. Nie sú vhodné pre inteligentné televízory a počet koreňov je príliš malý na to, aby zaručil podporu certifikátov na starších zariadeniach. V opačnom prípade TV jednoducho nebude môcť spustiť moderné streamovacie služby.
Najnovší incident s AddTrust ukázal, že ani veľké IT firmy nie sú pripravené na to, že platnosť koreňového certifikátu vyprší.
Existuje len jedno riešenie problému - aktualizácia. Vývojári inteligentných zariadení musia vopred poskytnúť mechanizmus na aktualizáciu softvéru a koreňových certifikátov. Na druhej strane nie je pre výrobcov výhodné zabezpečovať prevádzku svojich zariadení po uplynutí záručnej doby.
Zdroj: hab.com