Si uu browserku u xaqiijiyo degelka, waxa uu isu soo bandhigayaa silsilad shahaado ah oo sax ah. Silsilad caadi ah ayaa kor lagu muujiyay, waxaana jiri kara wax ka badan hal shahaado dhexe. Tirada ugu yar ee shahaadooyinka silsilad sax ah waa saddex.
Shahaadada xididku waa udub dhexaadka maamulka shahaadada. Dhab ahaantii waxa lagu dhex dhisay OS-kaaga ama browser-kaaga, waxa ay jidh ahaan ugu jirtaa qalabkaaga. Lagama beddeli karo dhinaca server-ka. Cusboonaysiinta qasabka ah ee OS ama firmware-ka qalabka ayaa loo baahan yahay.
Scott Helme oo ku takhasusay amniga , in dhibaatooyinka ugu waaweyni ay la soo bixi doonaan hay'adda shahaado-siinta ee Aynu Encryption, sababtoo ah maanta waa CA ugu caansan internetka, iyo shahaadada xididka ayaa si dhakhso ah u xumaan doonta. Beddelka Aan Sirinno xididka .
Shahaadooyinka dhamaadka iyo dhexdhexaadka ah ee maamulka shahaadada (CA) waxaa laga keenaa macmiilka server-ka, iyo shahaadada xididku waxay ka timid macmiilka ayaa hore u lahaa, markaa ururintan shahaadooyinka ah ayaa la dhisi karaa silsilad oo lagu xaqiijin karaa mareegaha.
Dhibaatadu waxay tahay in shahaado kasta ay leedahay taariikhda dhicitaanka, ka dib markaa loo baahan yahay in la beddelo. Tusaale ahaan, laga bilaabo Sebtembar 1, 2020, waxay qorsheynayaan inay soo bandhigaan xaddidaad ku saabsan muddada ansaxnimada ee shahaadooyinka server-ka TLS ee browserka Safari .
Tani waxay ka dhigan tahay inaan dhammaanteen bedeli doono shahaadooyinka server-ka ugu yaraan 12 biloodba mar. Xayiraaddani waxay khusaysaa oo keliya shahaadooyinka server-ka; ma khusaysaa shahaadooyinka xididka CA.
Shahaadooyinka CA waxaa lagu maamulaa xeerar kala duwan oo sidaas darteed waxay leeyihiin xaddidyo ansax ah oo kala duwan. Aad bay u badan tahay in la helo shahaadooyin dhexdhexaad ah oo leh muddo ansax ah oo ah 5 sano iyo shahaadooyin xidid oo leh nolol adeeg oo xitaa 25 sano ah!
Inta badan ma jiraan wax dhibaato ah oo ku saabsan shahaadooyinka dhexdhexaadka ah, sababtoo ah waxaa la siiyaa macmiilka server-ka, kaas oo laftiisa bedelay shahaadadiisa marar badan, sidaas darteed waxay si fudud u bedeshaa mid dhexdhexaad ah habka. Way fududahay in lagu beddelo iyada oo la socota shahaadada server-ka, si ka duwan shahaadada xididka CA.
Sida aan horayba u sheegnay, xididka CA ayaa si toos ah loogu dhisay qalabka macmiilka laftiisa, OS, browser ama software kale. Beddelka xididka CA waa wax ka baxsan xakamaynta shabakada. Tani waxay u baahan tahay cusboonaysiinta macmiilka, ha ahaato OS ama cusboonaysiin software.
Qaar ka mid ah xididada CA-yada ayaa ku dhowaa waqti aad u dheer, waxaan ka hadleynaa 20-25 sano. Dhawaan qaar ka mid ah xididada CA-yada ugu da'da weyn ayaa soo dhowaan doona dhamaadka noloshooda dabiiciga ah, waqtigoodu waa ku dhawaad ββββdhammaan. Inteena badan tani dhib kuma noqon doonto gabi ahaanba sababtoo ah CA-yadu waxay abuureen shahaadooyin xidid cusub waxaana lagu qaybiyay adduunka oo dhan OS iyo cusbooneysiinta browserka sanado badan. Laakin haddii qof aanu cusboonaysiin OS-giisa ama browser-ka muddo aad u dheer, waa nooc dhibaato ah.
Xaaladani waxay dhacday May 30, 2020 saacadu markay ahayd 10:48:38 GMT. Tani waa waqtiga saxda ah marka ka yimid maamulka Comodo (Sectigo).
Waxaa loo isticmaalay saxiix-is-dhaafsi si loo hubiyo ku-waafajinta aaladaha dhaxalka ah ee aan haysan shahaadada xididka cusub ee USERTrust ee dukaankooda.
Nasiib darro, mashaakilaadku kuma kac oo kaliya daalacashada dhaxalka ah, laakiin sidoo kale macaamiisha aan browserka ahayn ee ku salaysan OpenSSL 1.0.x, LibreSSL iyo . Tusaale ahaan, sanduuqyada set-top , adeeg , gudaha Fortinet, Chargify codsiyada, ee NET Core 2.0 platform ee Linux iyo .
Waxaa loo qaatay in dhibaatadu ay saameyn doonto kaliya nidaamyada dhaxalka ah (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, iwm.), maadaama daalacashada casriga ahi ay isticmaali karaan shahaadada labaad ee USERTRust. Laakiin dhab ahaantii, guul darooyinku waxay ka bilowdeen boqollaal adeegyo shabakadeed kuwaas oo isticmaalay OpenSSL 1.0.x iyo maktabadaha GnuTLS ee bilaashka ah. Xidhiidh aamin ah lama dhisi karo fariin khaldan oo muujinaysa in shahaadodu ay dhacday.
Marka xigta - Aan sirinno
Tusaalaha kale ee wanaagsan ee isbeddelka xididka CA ee soo socda waa Aynu sir qaadno maamulka shahaadada. Wax badan waxay qorsheeyeen inay ka beddelaan silsiladda Identrust una beddelaan silsiladda xididka ISRG, laakiin tani .
"Sababtoo ah welwelka ku saabsan korsashada ISRG xididka ee aaladaha Android awgeed, waxaan go'aansanay inaan ka guurno taariikhda kala-guurka asalka ah ee Julaay 8, 2019 ilaa Luulyo 8, 2020," Aan Encrypt ku yiri hadal uu soo saaray.
Taariikhdu waxay ahayd in dib loo dhigo sababtoo ah dhibaatada loo yaqaan "faafinta xididka", ama si sax ah, la'aanta faafinta xididka, marka xididka CA aan si ballaaran loogu qaybin dhammaan macaamiisha.
Aynu sir ahaan u isticmaalno shahaado dhex dhexaad ah oo iskutallaab ah oo lagu xidhxidhay IdenTrust DST Root CA X3. Shahaadada xididka ah ayaa dib loo soo saaray Sebtembar 2000 waxayna dhacaysaa Sebtembar 30, 2021. Ilaa iyo markaas, Aynu sirno qorshayaasha ay ugu haajiraan iskeed ISRG Root X1.
Xididka ISRG waxa uu soo baxay Juun 4, 2015 Intaa ka dib, habka loo ansixinayo maamulka shahaado ahaan ayaa bilaabmay, kaas oo dhammaaday . Laga soo bilaabo bartan, xididka CA wuxuu diyaar u ahaa dhammaan macaamiisha iyada oo loo marayo nidaamka hawlgalka ama cusboonaysiinta software. Waxa kaliya oo ay ahayd inaad sameyso waxay ahayd rakibida cusbooneysiinta.
Laakiin taasi waa dhibku.
Haddii teleefankaaga gacanta, TV-ga ama qalabka kale aan la cusboonaysiin muddo laba sano ah, sidee ku ogaan doontaa shahaadada xididka cusub ee ISRG Root X1? Haddii aadan ku rakibin nidaamka, markaa aaladdaadu waxay burin doontaa dhammaan Aan sirno shahaadooyinka server-ka isla marka Aynu sirno u beddelno xidid cusub. Iyo nidaamka deegaanka ee Android waxaa jira aalado badan oo duugoobay oo aan la cusboonaysiin muddo dheer.
Android deegaanka
Tani waa sababta aan u sirinno dib u dhigista u dhaqaaqista xididkeeda ISRG oo ay wali adeegsato dhex dhexaad u sii socda xididka IdenTrust. Laakiin kala-guurka waa in la sameeyaa xaalad kasta. Oo taariikhda beddelka xididka ayaa loo qoondeeyey .
Si aad u hubiso in ISRG X1 xididku ku rakiban yahay qalabkaaga (TV, sanduuqa set-top ama macmiilka kale), fur goobta tijaabada . Haddii digniin amni aysan soo bixin, markaas wax walba waa caadi.
Aynu sir dhigno maaha ka kaliya ee wajahaya caqabada u haajiridda xidid cusub. Cryptography ee internetka ayaa bilaabay in la isticmaalo wax yar ka hor 20 sano ka hor, markaa hadda waa waqtigii shahaadooyinka xididka badani ay dhacayaan.
Milkiilayaasha TV-yada casriga ah ee aan cusboonaysiin barnaamijka Smart TV-ga sannado badan ayaa laga yaabaa inay la kulmaan dhibaatadan. Tusaale ahaan, xididka cusub ee GlobalSign ayaa la sii daayay 2012, iyo ka dib qaar ka mid ah TV-yadii hore ee Smart ma dhisi karaan silsilad, sababtoo ah si fudud ma laha xididka CA. Gaar ahaan, macaamiishani waxay awoodi waayeen inay xiriir aamin ah la sameeyaan shabakada bbc.co.uk. Si loo xalliyo dhibaatada, maamulayaasha BBC waxay ku qasbanaadeen inay adeegsadaan khiyaano: iyaga iyada oo loo marayo shahaadooyin dhexdhexaad ah oo dheeraad ah, iyadoo la adeegsanayo xididdo hore ΠΈ , kuwaas oo aan weli qudhun.
www.bbc.co.uk (Caleemo) GlobalSign ECC OV SSL CA 2018 ( Dhexdhexaad ) GlobalSign Root CA - R5 ( Dhexdhexaad ) GlobalSign Root CA - R3 ( Dhexdhexaad )
Tani waa xal ku meel gaar ah. Dhibaatadu ma bixi doonto ilaa aad cusbooneysiiso software-ka macmiilka. TV-ga smart-ka ah asal ahaan waa kombuyuutar shaqaynaya oo xaddidan oo ku shaqeeya Linux. Iyo iyada oo aan la cusbooneysiin, shahaadooyinkeeda xididku waxay si lama filaan ah u noqon doonaan qudhun.
Tani waxay khusaysaa dhammaan aaladaha, maaha kaliya TV-yada. Haddii aad haysato qalab ku xiran internetka oo loo xayeysiiyay qalab "smart", markaa dhibaatada shahaadooyinka qudhuntay waxay ku dhowdahay inay khuseyso. Haddii qalabku aan la cusboonaysiin, dukaanka xididka CA wuxuu noqon doonaa waqti ka dib oo ugu dambeyntii dhibaatadu way soo bixi doontaa. Sida ugu dhakhsaha badan ee dhibaatadu u dhacdo waxay kuxirantahay marka dukaanka xididka la cusbooneysiiyay. Tani waxay noqon kartaa dhowr sano ka hor taariikhda dhabta ah ee qalabka.
Jid ahaan, tani waa dhibka sababta ay qaar ka mid ah aaladaha warbaahinta waaweyn aysan u isticmaali karin maamulka shahaadooyinka otomaatiga ah ee casriga ah sida Aynu Encryption, ayuu qoray Scott Helme. Kuma habboona TV-yada smart, iyo tirada xididadu aad bay u yar yihiin si loo dammaanad qaado taageerada shahaado ee aaladaha dhaxalka ah. Haddii kale, TV-gu si fudud ma awoodi doono inuu bilaabo adeegyada casriga ah ee qulqulka.
Dhacdadii ugu dambeysay ee AddTrust waxay muujisay in xitaa shirkadaha IT-ga ee waaweyn aysan diyaar u ahayn xaqiiqda ah in shahaadada xididku ay dhacayso.
Waxaa jira hal xal oo kaliya ee dhibaatada - update. Soosaarayaasha aaladaha casriga ah waa inay horay u siiyan hab lagu cusboonaysiinayo software-ka iyo shahaadooyinka xididka. Dhanka kale, maaha wax faa'iido u leh soosaarayaasha si ay u xaqiijiyaan hawlgalka qalabkooda ka dib wakhtiga dammaanadda uu dhacayo.
Source: www.habr.com