Hore sebatli se netefatse sebaka sa Marang-rang, se itlhahisa ka setifikeiti se nepahetseng. Ketane e tloaelehileng e bontšitsoe ka holimo, 'me ho ka ba le setifikeiti se fetang se le seng sa mahareng. Bonyane palo ea litifikeiti ka ketane e sebetsang ke tse tharo.
Setifikeiti sa motso ke pelo ea bolaoli ba setifikeiti. E hahiloe ka har'a OS kapa sebatli sa hau, e teng ka 'mele sesebelisoa sa hau. E ke ke ea fetoloa ho tloha lehlakoreng la seva. Ho hlokahala ntlafatso e qobelloang ea OS kapa firmware sesebelisoa.
Setsebi sa Tšireletso Scott Helme , hore mathata a ka sehloohong a tla hlaha ka bolaoli ba setifikeiti sa Let Encrypt, hobane kajeno ke CA e tummeng ka ho fetisisa Inthaneteng, 'me setifikeiti sa eona sa motso se tla tloha se senyeha. Ho fetola motso oa Let's Encrypt .
Litifikeiti tsa ho qetela le tsa mahareng tsa bolaoli ba setifikeiti (CA) li isoa ho moreki ho tsoa ho seva, 'me setifikeiti sa motso se tsoa ho moreki. e se e, kahoo ka pokello ena ea litifikeiti motho a ka haha ketane le ho netefatsa sebaka sa marang-rang.
Bothata ke hore setifikeiti ka seng se na le letsatsi la ho felloa ke nako, ka mor'a moo se hloka ho nkeloa sebaka. Mohlala, ho tloha ka la 1 Loetse 2020, ba rera ho hlahisa moeli nakong ea bonnete ba setifikeiti sa seva sa TLS ho sebatli sa Safari. .
Sena se bolela hore kaofela re tla tlameha ho khutlisa litifikeiti tsa rona tsa seva bonyane likhoeli tse ling le tse ling tse 12. Thibelo ena e sebetsa feela ho litifikeiti tsa seva; it ha e sebetsa ho litifikeiti tsa CA tsa motso.
Lisetifikeiti tsa CA li laoloa ke melao e fapaneng 'me ka hona li na le meeli e fapaneng ea ho nepahala. Ho tloaelehile haholo ho fumana litifikeiti tse mahareng tse nang le nako e nepahetseng ea lilemo tse 5 le litifikeiti tsa motso tse nang le bophelo ba ts'ebeletso esita le lilemo tse 25!
Hangata ha ho na mathata ka litifikeiti tse mahareng, hobane li fuoa moreki ke seva, eo ka boeona e fetolang setifikeiti sa eona hangata, ka hona e nkela sebaka sa mahareng ts'ebetsong. Ho bonolo haholo ho e nkela sebaka hammoho le setifikeiti sa seva, ho fapana le setifikeiti sa CA sa motso.
Joalokaha re se re boletse, motso oa CA o hahiloe ka kotloloho ho sesebelisoa sa moreki ka boeona, ho OS, sebatli kapa software e 'ngoe. Ho fetola motso oa CA ho feta taolo ea sebaka sa marang-rang. Sena se hloka ntlafatso ho moreki, ekaba OS kapa ntlafatso ea software.
Li-CA tse ling tsa metso li bile teng ka nako e telele haholo, re bua ka lilemo tse 20-25. Haufinyane tse ling tsa metso ea khale ka ho fetisisa ea li-CA li tla atamela qetellong ea bophelo ba bona ba tlhaho, nako ea bona e se e batla e felile. Ho ba bangata ba rona sena e ke ke ea e-ba bothata ho hang hobane li-CA li thehile litifikeiti tse ncha tsa metso 'me li ajoa lefatšeng ka bophara ho OS le liapdeite tsa sebatli ka lilemo tse ngata. Empa haeba motho e mong a sa ntlafatsa OS kapa sebatli sa bona ka nako e telele, ke bothata.
Boemo bona bo etsahetse ka la 30 Motšeanong 2020 ka 10:48:38 GMT. Ena ke eona nako eo ka eona ho tsoa ho bolaoli ba setifikeiti sa Comodo (Sectigo).
E ne e sebelisetsoa ho saena ho netefatsa ho lumellana le lisebelisoa tsa lefa tse se nang setifikeiti se secha sa USERTrust lebenkeleng la bona.
Ka bomalimabe, mathata a ile a hlaha eseng feela ho libatli tsa lefa, empa le ho bareki bao e seng ba sebatli ba ipapisitseng le OpenSSL 1.0.x, LibreSSL le . Ka mohlala, ka mabokoseng a li-set-top , tšebeletso , Fortinet, Chargify applications, sethaleng sa .NET Core 2.0 bakeng sa Linux le .
Ho ne ho nahanoa hore bothata bo tla ama litsamaiso tsa lefa feela (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, joalo-joalo), kaha libatli tsa sejoale-joale li ka sebelisa setifikeiti sa bobeli sa USERTRust. Empa ha e le hantle, liphoso li qalile ho makholo a lits'ebeletso tsa marang-rang tse sebelisang lilaebrari tsa mahala tsa OpenSSL 1.0.x le GnuTLS. Khokahano e sireletsehileng ha e sa khona ho theha ka molaetsa oa phoso o bontšang hore setifikeiti se siiloe ke nako.
E latelang - Ha re Encrypt
Mohlala o mong o motle oa phetoho e tlang ea CA ke bolaoli ba setifikeiti sa Let's Encrypt. Hape ba rerile ho tloha ho ketane ea Identrust ho ea ho ISRG Root chain, empa sena .
"Ka lebaka la matšoenyeho mabapi le khaello ea ho amoheloa ha motso oa ISRG lisebelisoa tsa Android, re nkile qeto ea ho tlosa letsatsi la phetoho ea metso ea tlhaho ho tloha ka Phupu 8, 2019 ho isa la 8 Phupu 2020," Let's Encrypt e boletse polelong.
Letsatsi le ne le tlameha ho chechisoa ka lebaka la bothata bo bitsoang "root propagation", kapa ka ho toba, khaello ea motsoako oa metso, ha motso oa CA o sa ajoa haholo ho bareki bohle.
Let's Encrypt hajoale e sebelisa setifikeiti sa mahareng se saenneng se tlameletsoeng ho IdenTrust DST Root CA X3. Setifikeiti sena sa motso se ile sa ntšoa morao koana ka Loetse 2000 mme se felloa ke nako ka la 30 Loetse 2021. Ho fihlela ka nako eo, Let's Encrypt e rera ho fallela ho ISRG Root X1 e iketselitseng eona.
Motso oa ISRG o lokollotsoe ka Phuptjane 4, 2015. Kamora sena, ts'ebetso ea tumello ea eona joalo ka bolaoli ba setifikeiti e ile ea qala, e ileng ea fela . Ho tloha nakong ena ho ea pele, motso oa CA o ne o fumaneha ho bareki bohle ka sistimi ea ts'ebetso kapa ntlafatso ea software. Seo u neng u tlameha ho se etsa feela ke ho kenya apdeite.
Empa bothata ke bona.
Haeba mohala oa hau oa selefouno, TV kapa sesebelisoa se seng se sa ntlafatsoa ka lilemo tse peli, se tla tseba joang ka setifikeiti se secha sa ISRG Root X1? 'Me haeba u sa e kenye tsamaisong, sesebelisoa sa hau se tla hlakola litifikeiti tsohle tsa "Let Encrypt server" hang ha Let's Encrypt e fetohela motso o mocha. 'Me ho Android ecosystem ho na le lisebelisoa tse ngata tsa khale tse sa kang tsa ntlafatsoa ka nako e telele.
Android ecosystem
Ke ka lebaka lena Let Encrypt e liehang ho fallela motsong oa eona oa ISRG mme e ntse e sebelisa sebaka se bohareng se theohelang motsong oa IdenTrust. Empa phetoho e tla tlameha ho etsoa maemong afe kapa afe. 'Me letsatsi la phetoho ea motso le abetsoe .
Ho netefatsa hore na motso oa ISRG X1 o kentsoe sesebelisoa sa hau (TV, lebokose la set-top kapa moreki e mong), bula sebaka sa tlhahlobo. . Haeba ho se na temoso ea ts'ireletso e hlahang, joale ntho e 'ngoe le e' ngoe hangata e lokile.
Let's Encrypt ha se eena feela ea tobaneng le phephetso ea ho fallela motsong o mocha. Cryptography Marang-rang e qalile ho sebelisoa lilemo tse fetang 20 tse fetileng, joale ke nako eo litifikeiti tse ngata tsa metso li seng li tla fela.
Beng ba li-TV tse bohlale ba sa kang ba ntlafatsa software ea Smart TV ka lilemo tse ngata ba ka kopana le bothata bona. Mohlala, motso o mocha oa GlobalSign e ile ea lokolloa ka 2012, 'me ka mor'a hore li-TV tse ling tsa khale tsa Smart ha li khone ho haha ketane ho eona, hobane ha li na motso ona oa CA. Haholo-holo, bareki bana ha ba khone ho theha khokahano e sireletsehileng ho webosaete ea bbc.co.uk. Ho rarolla bothata bona, batsamaisi ba BBC ba ile ba tlameha ho sebelisa leqheka: ba ka litifikeiti tse eketsehileng tsa mahareng, ho sebelisa metso ea khale и , tse e-song ho bole.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Intermediate) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (Intermediate)
Ena ke tharollo ea nakoana. Bothata bo ke ke ba fela ntle le haeba o ka ntlafatsa software ea bareki. TV e bohlale ha e le hantle ke komporo e sa sebetseng hantle e sebelisang Linux. 'Me ntle le lintlafatso, litifikeiti tsa eona tsa metso li tla bola.
Sena se sebetsa ho lisebelisoa tsohle, eseng feela li-TV. Haeba u na le sesebelisoa leha e le sefe se hokahaneng le Marang-rang mme se phatlalalitsoe e le sesebelisoa se "bohlale", joale bothata ba litifikeiti tse bolileng bo hlile bo amehile ka bona. Haeba sesebelisoa se sa ntlafatsoa, lebenkele la CA le tla siuoa ke nako ka mor'a nako 'me qetellong bothata bo tla hlaha. Hore na bothata bo hlaha kapele hakae ho itšetlehile ka hore na lebenkele la metso le qetetse ho nchafatsoa neng. Sena se ka nka lilemo tse 'maloa pele ho letsatsi la sebele la ho lokolloa ha sesebelisoa.
Ha e le hantle, bona ke bothata hobane li-platform tse ling tse kholo tsa mecha ea litaba li sa khone ho sebelisa matla a setifikeiti a sejoale-joale joalo ka Let's Encrypt, ho ngola Scott Helme. Ha li loketse li-TV tse bohlale, 'me palo ea metso e nyane haholo ho netefatsa tšehetso ea setifikeiti ho lisebelisoa tsa lefa. Ho seng joalo, TV e ke ke ea khona ho qala lits'ebeletso tsa sejoale-joale tsa ho hasanya.
Ketsahalo ea morao-rao le AddTrust e bontšitse hore esita le lik'hamphani tse kholo tsa IT ha lia itokisetsa taba ea hore setifikeiti sa motso se felile.
Ho na le tharollo e le 'ngoe feela ea bothata - ntlafatso. Baetsi ba lisebelisoa tse bohlale ba tlameha ho fana ka mokhoa oa ho nchafatsa software le setifikeiti sa metso esale pele. Ka lehlakoreng le leng, ha ho na phaello ho bahlahisi ho netefatsa ts'ebetso ea lisebelisoa tsa bona ka mor'a hore nako ea tiiso e felile.
Source: www.habr.com