Që një shfletues të vërtetojë një faqe interneti, ai paraqitet me një zinxhir certifikatash të vlefshme. Një zinxhir tipik tregohet më sipër dhe mund të ketë më shumë se një certifikatë të ndërmjetme. Numri minimal i certifikatave në një zinxhir të vlefshëm është tre.
Certifikata rrënjësore është zemra e autoritetit të certifikatës. Është fjalë për fjalë i integruar në OS ose shfletuesin tuaj, është fizikisht i pranishëm në pajisjen tuaj. Nuk mund të ndryshohet nga ana e serverit. Kërkohet një përditësim i detyruar i OS ose firmware në pajisje.
Specialisti i sigurisë Scott Helme , se problemet kryesore do të lindin me autoritetin e certifikimit Let's Encrypt, sepse sot është CA më popullor në internet dhe certifikata e saj rrënjë së shpejti do të shkojë keq. Ndryshimi i rrënjës Let's Encrypt .
Certifikatat e fundit dhe ato të ndërmjetme të autoritetit të certifikimit (CA) i dorëzohen klientit nga serveri, dhe certifikata rrënjësore është nga klienti tashmë kanë, kështu që me këtë koleksion certifikatash mund të ndërtohet një zinxhir dhe të vërtetohet një faqe interneti.
Problemi është se çdo certifikatë ka një datë skadimi, pas së cilës duhet të zëvendësohet. Për shembull, nga 1 shtatori 2020, ata planifikojnë të vendosin një kufizim në periudhën e vlefshmërisë së certifikatave të serverit TLS në shfletuesin Safari .
Kjo do të thotë që ne të gjithë do të duhet të zëvendësojmë certifikatat e serverit tonë të paktën çdo 12 muaj. Ky kufizim vlen vetëm për certifikatat e serverit; ai jo zbatohet për certifikatat rrënjë CA.
Certifikatat CA drejtohen nga një grup rregullash të ndryshme dhe për këtë arsye kanë kufij të ndryshëm vlefshmërie. Është shumë e zakonshme të gjesh certifikata të ndërmjetme me një periudhë vlefshmërie prej 5 vjetësh dhe certifikata rrënjësore me jetëgjatësi edhe 25 vjet!
Zakonisht nuk ka probleme me certifikatat e ndërmjetme, sepse ato i furnizohen klientit nga serveri, i cili vetë e ndryshon certifikatën e tij shumë më shpesh, kështu që thjesht zëvendëson atë të ndërmjetme në proces. Është mjaft e lehtë ta zëvendësosh atë së bashku me certifikatën e serverit, ndryshe nga certifikata CA rrënjë.
Siç kemi thënë tashmë, CA rrënjë është ndërtuar direkt në vetë pajisjen e klientit, në OS, shfletues ose softuer tjetër. Ndryshimi i CA rrënjë është përtej kontrollit të sajtit. Kjo kërkon një përditësim të klientit, qoftë ai një përditësim OS ose softuer.
Disa CA rrënjë kanë qenë rreth e rrotull për një kohë shumë të gjatë, ne po flasim për 20-25 vjet. Së shpejti, disa nga CA-të më të vjetra rrënjë do t'i afrohen fundit të jetës së tyre natyrore, koha e tyre pothuajse ka mbaruar. Për shumicën prej nesh, kjo nuk do të jetë aspak problem sepse CA-të kanë krijuar certifikata të reja rrënjësore dhe ato janë shpërndarë në mbarë botën në përditësimet e OS dhe shfletuesit për shumë vite. Por nëse dikush nuk e ka përditësuar OS ose shfletuesin e tij për një kohë shumë të gjatë, është një lloj problemi.
Kjo situatë ka ndodhur më 30 maj 2020 në orën 10:48:38 GMT. Kjo është koha e saktë kur nga autoriteti i certifikimit Comodo (Sectigo).
Është përdorur për nënshkrime të kryqëzuara për të siguruar përputhshmëri me pajisjet e vjetra që nuk kanë certifikatën e re rrënjë USERTrust në dyqanin e tyre.
Fatkeqësisht, problemet u shfaqën jo vetëm në shfletuesit e vjetër, por edhe në klientët jo-shfletues të bazuar në OpenSSL 1.0.x, LibreSSL dhe . Për shembull, në set-top boxes , shërbim , në Fortinet, aplikacionet Chargify, në platformën .NET Core 2.0 për Linux dhe .
Supozohej se problemi do të prekte vetëm sistemet e trashëgimisë (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, etj.), Meqenëse shfletuesit modernë mund të përdorin certifikatën e dytë rrënjë USERTRust. Por në fakt, dështimet filluan në qindra shërbime ueb që përdorën bibliotekat falas OpenSSL 1.0.x dhe GnuTLS. Një lidhje e sigurt nuk mund të krijohej më me një mesazh gabimi që tregon se certifikata ishte e vjetëruar.
Tjetra - Le të Enkriptojmë
Një shembull tjetër i mirë i ndryshimit të ardhshëm të CA të rrënjës është autoriteti i certifikatës Let's Encrypt. Më shumë ata planifikonin të kalonin nga zinxhiri Identrust në zinxhirin e tyre ISRG Root, por kjo .
"Për shkak të shqetësimeve në lidhje me mungesën e miratimit të rrënjës ISRG në pajisjet Android, ne kemi vendosur të zhvendosim datën e tranzicionit të rrënjës vendase nga 8 korriku 2019 në 8 korrik 2020," tha Let's Encrypt në një deklaratë.
Data duhej të shtyhej për shkak të një problemi të quajtur “root propagation”, ose më saktë, mungesës së përhapjes së rrënjës, kur CA rrënjë nuk është shumë e shpërndarë në të gjithë klientët.
Let's Encrypt aktualisht përdor një certifikatë të ndërmjetme të ndërlidhur të lidhur me IdenTrust DST Root CA X3. Kjo certifikatë rrënjësore është lëshuar përsëri në shtator 2000 dhe skadon në 30 shtator 2021. Deri atëherë, Let's Encrypt planifikon të migrojë në ISRG Root X1 të vetë-nënshkruar.
Rrënja e ISRG u lëshua më 4 qershor 2015. Pas kësaj filloi procesi i miratimit të tij si autoritet certifikues, i cili përfundoi . Nga kjo pikë e tutje, CA rrënjë ishte e disponueshme për të gjithë klientët përmes një sistemi operativ ose përditësimi softueri. E tëra çfarë ju duhej të bënit ishte të instaloni përditësimin.
Por ky është problemi.
Nëse telefoni juaj celular, televizori ose pajisja tjetër nuk është përditësuar për dy vjet, si do të dijë për certifikatën e re ISRG Root X1? Dhe nëse nuk e instaloni në sistem, atëherë pajisja juaj do të zhvlerësojë të gjitha certifikatat e serverit Let's Encrypt sapo Let's Encrypt të kalojë në një rrënjë të re. Dhe në ekosistemin Android ka shumë pajisje të vjetëruara që nuk janë përditësuar për një kohë të gjatë.
Ekosistemi Android
Kjo është arsyeja pse Let's Encrypt vonoi lëvizjen në rrënjën e vet ISRG dhe ende përdor një ndërmjetës që zbret në rrënjën IdenTrust. Por tranzicioni do të duhet të bëhet në çdo rast. Dhe data e ndryshimit të rrënjës është caktuar .
Për të kontrolluar nëse ISRG X1 root është i instaluar në pajisjen tuaj (TV, dekoder ose klient tjetër), hapni faqen e testimit . Nëse nuk shfaqet asnjë paralajmërim sigurie, atëherë zakonisht gjithçka është në rregull.
Let's Encrypt nuk është i vetmi që përballet me sfidën e migrimit në një rrënjë të re. Kriptografia në internet filloi të përdoret pak më shumë se 20 vjet më parë, kështu që tani është koha kur shumë certifikata rrënjësore janë gati të skadojnë.
Pronarët e televizorëve inteligjentë që nuk e kanë përditësuar softuerin Smart TV për shumë vite mund të hasin në këtë problem. Për shembull, rrënja e re GlobalSign u lëshua në 2012, dhe pas disa TV të vjetër Smart nuk mund të ndërtojnë një zinxhir për të, sepse ata thjesht nuk e kanë këtë CA rrënjë. Në veçanti, këta klientë nuk ishin në gjendje të krijonin një lidhje të sigurt me faqen e internetit bbc.co.uk. Për të zgjidhur problemin, administratorët e BBC-së iu desh të përdornin një truk: ata nëpërmjet certifikatave shtesë të ndërmjetme, duke përdorur rrënjë të vjetra и , të cilat ende nuk janë kalbur.
www.bbc.co.uk (Fletë) GlobalSign ECC OV SSL CA 2018 (i ndërmjetëm) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (i ndërmjetëm)
Kjo është një zgjidhje e përkohshme. Problemi nuk do të zhduket nëse nuk përditësoni softuerin e klientit. Një televizor inteligjent është në thelb një kompjuter me funksionalitet të kufizuar që funksionon Linux. Dhe pa përditësime, certifikatat e saj rrënjësore në mënyrë të pashmangshme do të bëhen të kalbura.
Kjo vlen për të gjitha pajisjet, jo vetëm për televizorët. Nëse keni ndonjë pajisje që është e lidhur me internetin dhe që është reklamuar si një pajisje "e zgjuar", atëherë problemi me certifikatat e kalbura pothuajse me siguri ka të bëjë me të. Nëse pajisja nuk përditësohet, dyqani CA root do të vjetërohet me kalimin e kohës dhe përfundimisht problemi do të shfaqet. Sa shpejt do të shfaqet problemi varet nga koha kur u përditësua për herë të fundit dyqani rrënjë. Kjo mund të jetë disa vite përpara datës aktuale të lëshimit të pajisjes.
Nga rruga, ky është problemi pse disa platforma të mëdha mediatike nuk mund të përdorin autoritete moderne të automatizuara të certifikatave si Let's Encrypt, shkruan Scott Helme. Ato nuk janë të përshtatshme për televizorë inteligjentë dhe numri i rrënjëve është shumë i vogël për të garantuar mbështetjen e certifikatës në pajisjet e vjetra. Përndryshe, TV thjesht nuk do të jetë në gjendje të nisë shërbimet moderne të transmetimit.
Incidenti i fundit me AddTrust tregoi se edhe kompanitë e mëdha të IT nuk janë të përgatitura për faktin që certifikata rrënjësore skadon.
Ekziston vetëm një zgjidhje për problemin - përditësimi. Zhvilluesit e pajisjeve inteligjente duhet të ofrojnë paraprakisht një mekanizëm për përditësimin e softuerit dhe certifikatave rrënjësore. Nga ana tjetër, nuk është fitimprurëse për prodhuesit që të sigurojnë funksionimin e pajisjeve të tyre pas skadimit të periudhës së garancisë.
Burimi: www.habr.com