Да би прегледач потврдио аутентичност веб локације, она се представља са важећим ланцем сертификата. Типичан ланац је приказан изнад и може постојати више од једног средњег сертификата. Минимални број сертификата у важећем ланцу је три.
Основни сертификат је срце ауторитета за сертификацију. Буквално је уграђен у ваш ОС или претраживач, физички је присутан на вашем уређају. Не може се променити са стране сервера. Потребно је принудно ажурирање оперативног система или фирмвера на уређају.
Специјалиста за безбедност Скот Хелме , да ће главни проблеми настати са ауторитетом за сертификацију Лет'с Енцрипт, јер је то данас најпопуларнији ЦА на Интернету, а његов роот сертификат ће се ускоро покварити. Промена корена Лет'с Енцрипт .
Крајњи и посредни сертификати ауторитета за сертификацију (ЦА) се испоручују клијенту са сервера, а основни сертификат је од клијента је већ, тако да се са овом колекцијом сертификата може изградити ланац и аутентификовати веб локацију.
Проблем је што сваки сертификат има датум истека, након чега га треба заменити. На пример, од 1. септембра 2020. планирају да уведу ограничење на период важења серверских ТЛС сертификата у прегледачу Сафари .
То значи да ћемо сви морати да мењамо наше серверске сертификате најмање сваких 12 месеци. Ово ограничење се односи само на сертификате сервера; ит не односи се на роот ЦА сертификате.
ЦА сертификати су регулисани другачијим скупом правила и стога имају различита ограничења ваљаности. Веома је уобичајено да се нађу средњи сертификати са роком важења од 5 година и роот сертификати са животним веком од чак 25 година!
Са средњим сертификатима обично нема проблема, јер их клијенту испоручује сервер, који сам много чешће мења сопствени сертификат, па једноставно замењује средњи у процесу. Сасвим је лако заменити га заједно са сертификатом сервера, за разлику од роот ЦА сертификата.
Као што смо већ рекли, основни ЦА је уграђен директно у сам клијентски уређај, у ОС, претраживач или други софтвер. Промена основног ЦА је ван контроле веб локације. Ово захтева ажурирање клијента, било да се ради о ажурирању оперативног система или софтвера.
Неки роот ЦА постоје већ дуго времена, говоримо о 20-25 година. Ускоро ће се неки од најстаријих роот ЦА приближити крају свог природног живота, њихово време је скоро истекло. За већину нас ово уопште неће представљати проблем јер су ЦА-ови креирали нове коренске сертификате и они се дистрибуирају широм света у ажурирањима ОС-а и претраживача дуги низ година. Али ако неко није ажурирао свој ОС или прегледач веома дуго, то је врста проблема.
Ова ситуација се догодила 30. маја 2020. у 10:48:38 ГМТ. Ово је тачно време када од Цомодо сертификационог тела (Сецтиго).
Коришћен је за унакрсно потписивање како би се осигурала компатибилност са старим уређајима који немају нови УСЕРТруст роот сертификат у својој продавници.
Нажалост, проблеми су се појавили не само у старим претраживачима, већ иу клијентима који нису претраживачи засновани на ОпенССЛ 1.0.к, ЛибреССЛ и . На пример, у сет-топ боксовима , сервис , у Фортинет-у, Цхаргифи апликације, на .НЕТ Цоре 2.0 платформи за Линук и .
Претпостављало се да ће проблем утицати само на старе системе (Андроид 2.3, Виндовс КСП, Мац ОС Кс 10.11, иОС 9, итд.), будући да савремени претраживачи могу да користе други УСЕРТРуст роот сертификат. Али у ствари, кварови су почели у стотинама веб сервиса који су користили бесплатне ОпенССЛ 1.0.к и ГнуТЛС библиотеке. Безбедна веза више није могла да се успостави са поруком о грешци која указује да је сертификат застарео.
Следеће - Хајде да шифрујемо
Још један добар пример предстојеће промене основног ЦА је ауторитет сертификата Лет'с Енцрипт. Више планирали су да пређу са Идентруст ланца на сопствени ИСРГ Роот ланац, али ово .
„Због забринутости у вези са недостатком усвајања ИСРГ роот-а на Андроид уређајима, одлучили смо да померимо датум транзиције матичног корена са 8. јула 2019. на 8. јул 2020.“, наводи се у саопштењу Лет'с Енцрипт.
Датум је морао да буде одложен због проблема званог „пропагација корена“, или тачније, изостанка размножавања корена, када коренски ЦА није баш широко распрострањен међу свим клијентима.
Лет'с Енцрипт тренутно користи унакрсно потписани средњи сертификат везан за ИденТруст ДСТ Роот ЦА Кс3. Овај основни сертификат је издат још у септембру 2000. године и истиче 30. септембра 2021. године. До тада, Лет'с Енцрипт планира да пређе на сопствени самопотписани ИСРГ Роот Кс1.
ИСРГ роот објављен 4. јуна 2015. Након тога је започео процес његовог одобрења као сертификационог тела, који је окончан . Од овог тренутка, основни ЦА је био доступан свим клијентима путем ажурирања оперативног система или софтвера. Све што је требало да урадите је да инсталирате ажурирање.
Али то је проблем.
Ако ваш мобилни телефон, ТВ или други уређај није ажуриран две године, како ће знати за нови ИСРГ Роот Кс1 роот сертификат? А ако га не инсталирате на систем, ваш уређај ће поништити све сертификате Лет'с Енцрипт сервера чим Лет'с Енцрипт пређе на нови роот. А у Андроид екосистему постоји много застарелих уређаја који дуго нису ажурирани.
Андроид екосистем
Због тога је Лет'с Енцрипт одложио прелазак на сопствени ИСРГ корен и још увек користи међупроизвод који се спушта до корена ИденТруст. Али транзиција ће у сваком случају морати да се изврши. И датум промене корена је додељен .
Да бисте проверили да ли је ИСРГ Кс1 роот инсталиран на вашем уређају (ТВ, сет-топ бок или други клијент), отворите сајт за тестирање . Ако се не појави никакво безбедносно упозорење, онда је обично све у реду.
Лет'с Енцрипт није једини који се суочава са изазовом миграције на нови корен. Криптографија на Интернету почела је да се користи пре нешто више од 20 година, тако да је сада време када ће многи роот сертификати ускоро истећи.
Власници паметних телевизора који нису ажурирали Смарт ТВ софтвер дуги низ година могу наићи на овај проблем. На пример, нови корен ГлобалСигн је објављен 2012. године, а након што неки стари Смарт телевизори не могу да направе ланац до њега, јер једноставно немају овај роот ЦА. Конкретно, ови клијенти нису могли да успоставе сигурну везу са веб-сајтом ббц.цо.ук. Да би решили проблем, администратори ББЦ-ја морали су да прибегну трику: они преко додатних средњих сертификата, користећи старе корене и , који још нису иструлили.
ввв.ббц.цо.ук (лист) ГлобалСигн ЕЦЦ ОВ ССЛ ЦА 2018 (средњи) ГлобалСигн Роот ЦА - Р5 (средњи) ГлобалСигн Роот ЦА - Р3 (средњи)
Ово је привремено решење. Проблем неће нестати осим ако не ажурирате клијентски софтвер. Паметни ТВ је у суштини рачунар ограничене функционалности који користи Линук. А без ажурирања, његови роот сертификати ће неизбежно постати трули.
Ово се односи на све уређаје, не само на телевизоре. Ако имате било који уређај који је повезан на Интернет и који је рекламиран као „паметан“ уређај, онда се проблем са поквареним сертификатима готово сигурно тиче њега. Ако се уређај не ажурира, основна ЦА продавница ће временом постати застарела и на крају ће се проблем појавити. Колико брзо ће се проблем појавити зависи од тога када је основна продавница последњи пут ажурирана. Ово може бити неколико година пре стварног датума објављивања уређаја.
Иначе, то је проблем зашто неке велике медијске платформе не могу да користе модерне аутоматизоване ауторитете сертификата попут Лет'с Енцрипт, пише Скот Хелме. Нису погодни за паметне телевизоре, а број рутова је премали да би гарантовао подршку сертификата на старим уређајима. У супротном, ТВ једноставно неће моћи да покрене модерне сервисе за стриминг.
Последњи инцидент са АддТруст-ом показао је да чак ни велике ИТ компаније нису спремне на то да роот сертификат истиче.
Постоји само једно решење за проблем - ажурирање. Програмери паметних уређаја морају унапред да обезбеде механизам за ажурирање софтвера и роот сертификата. С друге стране, произвођачима није исплативо да обезбеде рад својих уређаја након истека гарантног рока.
Извор: ввв.хабр.цом