Da brskalnik preveri pristnost spletnega mesta, se predstavi z veljavno verigo potrdil. Tipična veriga je prikazana zgoraj in lahko obstaja več kot eno vmesno potrdilo. Najmanjše število potrdil v veljavni verigi je tri.
Korensko potrdilo je srce overitelja potrdil. Dobesedno je vgrajen v vaš OS ali brskalnik, fizično je prisoten v vaši napravi. Ni ga mogoče spremeniti s strani strežnika. Potrebna je prisilna posodobitev operacijskega sistema ali vdelane programske opreme v napravi.
Specialist za varnost Scott Helme , da bodo glavne težave nastale pri overitelju Let's Encrypt, ker je danes najbolj priljubljen CA na internetu, njegov korenski certifikat pa se bo kmalu pokvaril. Spreminjanje korena Let's Encrypt .
Končna in vmesna potrdila overitelja potrdil (CA) so odjemalcu dostavljena s strežnika, korensko potrdilo pa odjemalec že imate, tako da lahko s to zbirko potrdil zgradite verigo in overite spletno mesto.
Težava je v tem, da ima vsak certifikat rok veljavnosti, po katerem ga je treba zamenjati. Na primer, s 1. septembrom 2020 nameravajo uvesti omejitev roka veljavnosti strežniških TLS certifikatov v brskalniku Safari .
To pomeni, da bomo morali vsi zamenjati strežniške certifikate vsaj vsakih 12 mesecev. Ta omejitev velja samo za strežniška potrdila; it ne velja za korenska potrdila CA.
Potrdila CA urejajo drugačna pravila in imajo zato drugačne omejitve veljavnosti. Zelo pogosto najdemo vmesne certifikate z veljavnostjo 5 let in korenske certifikate z življenjsko dobo celo 25 let!
Z vmesnimi certifikati običajno ni težav, saj jih odjemalcu posreduje strežnik, ki sam veliko pogosteje menja svoje lastno potrdilo, tako da vmesnega preprosto zamenja v procesu. Za razliko od korenskega potrdila CA ga je skupaj s potrdilom strežnika enostavno zamenjati.
Kot smo že povedali, je korenski CA vgrajen neposredno v samo odjemalsko napravo, v OS, brskalnik ali drugo programsko opremo. Spreminjanje korenskega CA ni pod nadzorom spletnega mesta. To zahteva posodobitev odjemalca, naj bo to posodobitev operacijskega sistema ali programske opreme.
Nekateri korenski CA obstajajo že zelo dolgo, govorimo o 20-25 letih. Kmalu se bodo nekateri najstarejši korenski CA-ji približali koncu svojega naravnega življenja, njihov čas je skoraj potekel. Za večino od nas to sploh ne bo problem, ker so službe za potrdila ustvarile nova korenska potrdila in so bila že več let razdeljena po vsem svetu v posodobitvah OS in brskalnika. Če pa nekdo že zelo dolgo ni posodobil svojega operacijskega sistema ali brskalnika, je to nekakšna težava.
Ta situacija se je zgodila 30. maja 2020 ob 10:48:38 GMT. To je natančen čas, ko od certifikacijskega organa Comodo (Sectigo).
Uporabljen je bil za navzkrižno podpisovanje, da se zagotovi združljivost s podedovanimi napravami, ki v svoji trgovini nimajo novega korenskega potrdila USERTrust.
Na žalost se težave niso pojavile le v podedovanih brskalnikih, ampak tudi v odjemalcih brez brskalnika, ki temeljijo na OpenSSL 1.0.x, LibreSSL in . Na primer v set-top boxih , storitev , v aplikacijah Fortinet, Chargify, na platformi .NET Core 2.0 za Linux in .
Predpostavljalo se je, da bo težava vplivala samo na podedovane sisteme (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 itd.), saj lahko sodobni brskalniki uporabljajo drugo korensko potrdilo USERTRust. Toda v resnici so se začele okvare v stotinah spletnih storitev, ki so uporabljale brezplačni knjižnici OpenSSL 1.0.x in GnuTLS. Varne povezave ni bilo več mogoče vzpostaviti s sporočilom o napaki, ki nakazuje, da je potrdilo zastarelo.
Naprej - Let's Encrypt
Drug dober primer prihajajoče spremembe korenskega CA je overitelj potrdil Let's Encrypt. več načrtovali so prehod iz verige Identrust v lastno koreninsko verigo ISRG, a to .
"Zaradi pomislekov glede premajhnega sprejema korena ISRG na napravah Android, smo se odločili premakniti datum prehoda izvornega korena z 8. julija 2019 na 8. julij 2020," je povedal Let's Encrypt v izjavi.
Datum je bilo treba preložiti zaradi težave, imenovane "korensko razmnoževanje", ali natančneje, pomanjkanja korenskega razmnoževanja, ko korenski CA ni zelo široko porazdeljen po vseh odjemalcih.
Let's Encrypt trenutno uporablja navzkrižno podpisano vmesno potrdilo, povezano z IdenTrust DST Root CA X3. To korensko potrdilo je bilo izdano septembra 2000 in poteče 30. septembra 2021. Do takrat namerava Let's Encrypt preiti na lastno samopodpisano ISRG Root X1.
ISRG root izdan 4. junija 2015. Po tem se je začel postopek njene potrditve kot overitelja, ki se je končal . Od te točke naprej je bil korenski CA na voljo vsem odjemalcem prek posodobitve operacijskega sistema ali programske opreme. Vse, kar ste morali storiti, je bilo namestiti posodobitev.
Ampak to je problem.
Če vaš mobilni telefon, TV ali druga naprava ni bila posodobljena dve leti, kako bo vedela za novo korensko potrdilo ISRG Root X1? In če ga ne namestite v sistem, bo vaša naprava razveljavila vsa potrdila strežnika Let's Encrypt takoj, ko Let's Encrypt preklopi na nov koren. In v ekosistemu Android je veliko zastarelih naprav, ki že dolgo niso bile posodobljene.
Ekosistem Android
Zato je Let's Encrypt odložil prehod na lastno korenino ISRG in še vedno uporablja vmesni vmesnik, ki se spusti do korenine IdenTrust. A prehod bo v vsakem primeru treba narediti. In datum spremembe korena je dodeljen .
Če želite preveriti, ali je koren ISRG X1 nameščen v vaši napravi (TV, digitalni sprejemnik ali drug odjemalec), odprite testno mesto . Če se varnostno opozorilo ne prikaže, je običajno vse v redu.
Let's Encrypt ni edini, ki se sooča z izzivom selitve na nov koren. Kriptografija na internetu se je začela uporabljati pred nekaj več kot 20 leti, zato je zdaj čas, ko bo mnogim korenskim potrdilom potekla veljavnost.
Lastniki pametnih televizorjev, ki že vrsto let niso posodobili programske opreme Smart TV, lahko naletijo na to težavo. Na primer nov koren GlobalSign je bil izdan leta 2012 in po tem, ko nekateri stari pametni televizorji ne morejo zgraditi verige do njega, ker preprosto nimajo tega korenskega CA. Zlasti te stranke niso mogle vzpostaviti varne povezave s spletnim mestom bbc.co.uk. Da bi rešili težavo, so se morali administratorji BBC zateči k triku: oni prek dodatnih vmesnih potrdil, z uporabo starih korenin и , ki še niso pokvarile.
www.bbc.co.uk (list) GlobalSign ECC OV SSL CA 2018 (vmesni) GlobalSign Root CA - R5 (vmesni) GlobalSign Root CA - R3 (vmesni)
To je začasna rešitev. Težava ne bo izginila, razen če posodobite odjemalsko programsko opremo. Pametni televizor je v bistvu računalnik z omejeno funkcionalnostjo, ki poganja Linux. In brez posodobitev bodo korenski certifikati neizogibno postali gnili.
To velja za vse naprave, ne samo za televizorje. Če imate kakšno napravo, ki je povezana v internet in je bila reklamirana kot “pametna” naprava, potem se težava z pokvarjenimi certifikati skoraj zagotovo nanaša nanjo. Če naprava ni posodobljena, bo korenska trgovina CA sčasoma zastarela in sčasoma se bo pojavila težava. Kdaj se težava pojavi, je odvisno od tega, kdaj je bila korenska trgovina nazadnje posodobljena. To je lahko več let pred dejanskim datumom izdaje naprave.
Mimogrede, to je problem, zakaj nekatere velike medijske platforme ne morejo uporabljati sodobnih avtomatiziranih potrdil, kot je Let's Encrypt, piše Scott Helme. Niso primerni za pametne televizorje, število korenin pa je premajhno, da bi zagotovilo podporo certifikatom na starejših napravah. V nasprotnem primeru televizija preprosto ne bo mogla zagnati sodobnih pretočnih storitev.
Zadnji incident z AddTrust je pokazal, da tudi velika IT podjetja niso pripravljena na dejstvo, da korensko potrdilo poteče.
Obstaja samo ena rešitev problema - posodobitev. Razvijalci pametnih naprav morajo vnaprej zagotoviti mehanizem za posodabljanje programske opreme in korenskih potrdil. Po drugi strani pa se proizvajalcem ne splača zagotavljati delovanja svojih naprav po izteku garancijskega roka.
Vir: www.habr.com