Pikeun browser pikeun ngabuktoskeun kaaslianana halaman wéb, éta nyayogikeun diri kalayan ranté sertipikat anu sah. A ranté has ditémbongkeun di luhur, sarta meureun aya leuwih ti hiji sertipikat panengah. Jumlah minimum sertipikat dina ranté valid nyaéta tilu.
Sertipikat akar mangrupikeun jantung otoritas sertipikat. Éta sacara harfiah diwangun kana OS atanapi browser anjeun, sacara fisik aya dina alat anjeun. Teu bisa dirobah tina sisi server. Pembaruan paksa OS atanapi firmware dina alat diperyogikeun.
Spesialis Kaamanan Scott Helme , yén masalah utama bakal timbul kalawan otoritas sertifikasi Hayu Encrypt, sabab kiwari éta CA nu pang populerna di Internet, sarta sertipikat root na baris geura-giru balik goréng. Ngarobah akar Hayu urang Encrypt .
Sertipikat ahir sareng perantara otoritas sertifikasi (CA) dikirimkeun ka klien tina server, sareng sertipikat akar ti klien. geus, Ku kituna kalayan kumpulan sertipikat ieu bisa ngawangun ranté sarta ngabuktoskeun kaaslianana ramatloka a.
Masalahna nyaéta unggal sertipikat ngagaduhan tanggal béakna, saatos éta kedah diganti. Salaku conto, ti 1 Séptémber 2020, aranjeunna badé ngenalkeun watesan dina periode validitas sertipikat TLS server dina browser Safari. .
Ieu ngandung harti yén urang sadayana kedah ngagentos sertipikat server kami sahenteuna unggal 12 bulan. Watesan ieu ngan manglaku ka sertipikat server; éta teu manglaku ka sertipikat CA akar.
Sertipikat CA diatur ku sakumpulan aturan anu béda sahingga gaduh wates validitas anu béda. Biasana mendakan sertipikat panengah kalayan periode validitas 5 taun sareng sertipikat akar kalayan umur jasa bahkan 25 taun!
Biasana teu aya masalah sareng sertipikat panengah, sabab disayogikeun ka klien ku server, anu nyalira ngarobih sertipikatna nyalira langkung sering, janten ngan saukur ngagentos anu panengah dina prosésna. Ieu rada gampang pikeun ngaganti eta babarengan jeung sertipikat server, kawas sertipikat CA root.
Salaku urang geus ngomong, akar CA diwangun langsung kana alat klien sorangan, kana OS, browser atawa software lianna. Ngarobih akar CA di luar kontrol halaman wéb. Ieu merlukeun apdet on klien, boh OS atawa software update.
Sababaraha akar CAs geus lila pisan, urang ngobrol ngeunaan 20-25 taun. Moal lami deui sababaraha akar CAs pangkolotna bakal ngadeukeutan tungtung kahirupan alam maranéhanana, waktu maranéhanana ampir nepi. Kanggo sabagéan ageung urang ieu moal janten masalah pisan sabab CA parantos nyiptakeun sertipikat akar énggal sareng aranjeunna parantos disebarkeun di sakumna dunya dina OS sareng apdet browser salami mangtaun-taun. Tapi upami aya anu henteu ngamutahirkeun OS atanapi browserna dina waktos anu lami pisan, éta mangrupikeun masalah.
Kaayaan ieu lumangsung dina 30 Mei 2020 jam 10:48:38 GMT. Ieu mangrupikeun waktos anu pas ti otoritas sertifikasi Comodo (Sectigo).
Ieu dipaké pikeun cross-signing pikeun mastikeun kasaluyuan jeung alat warisan nu teu boga sertipikat root USERTrust anyar dina toko maranéhanana.
Hanjakalna, masalah timbul henteu ngan ukur dina browser warisan, tapi ogé dina klien non-browser dumasar kana OpenSSL 1.0.x, LibreSSL sareng . Contona, dina kotak set-top , palayanan , dina Fortinet, aplikasi Chargify, dina platform .NET Core 2.0 pikeun Linux Ubuntu jeung .
Dianggap yén masalahna ngan ukur mangaruhan sistem warisan (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, jsb.), Kusabab panyungsi modéren tiasa nganggo sertipikat akar USERTRust kadua. Tapi kanyataanna, kagagalan dimimitian dina ratusan jasa wéb anu nganggo perpustakaan OpenSSL 1.0.x sareng GnuTLS gratis. Koneksi anu aman teu tiasa didamel deui kalayan pesen kasalahan anu nunjukkeun yén sertipikatna parantos lami.
Salajengna - Hayu urang Encrypt
Conto anu hadé pikeun parobahan CA akar anu bakal datang nyaéta otoritas sertipikat Hayu Encrypt. Tambih deui aranjeunna rencanana pindah ti ranté Identrust kana ranté Akar ISRG sorangan, tapi ieu .
"Kusabab prihatin ngeunaan kurangna nyoko kana akar ISRG dina alat Android, kami parantos mutuskeun pikeun mindahkeun tanggal transisi akar asli ti 8 Juli 2019 ka 8 Juli 2020," saur Let's Encrypt dina hiji pernyataan.
Tanggalna kedah ditunda kusabab masalah anu disebut "propagasi akar", atanapi langkung tepatna, kurangna rambatan akar, nalika akar CA henteu disebarkeun lega ka sadaya klien.
Hayu Encrypt ayeuna nganggo sertipikat panengah anu ditandatanganan silang anu dipasung ka IdenTrust DST Root CA X3. Sertipikat akar ieu dikaluarkeun deui dina Séptémber 2000 sareng kadaluwarsa dina 30 Séptémber 2021. Dugi ka waktos éta, Hayu Encrypt ngarencanakeun migrasi ka ISRG Root X1 anu ditandatanganan sorangan.
Akar ISRG dirilis dina 4 Juni 2015. Saatos ieu, prosés persetujuanna salaku otoritas sertifikasi dimimitian, anu réngsé . Ti titik ieu, akar CA sadia ka sadaya klien ngaliwatan sistem operasi atawa update software. Sadaya anu anjeun kedah laksanakeun nyaéta masang apdet.
Tapi éta masalahna.
Upami telepon sélulér anjeun, TV atanapi alat sanés teu acan diropéa dua taun, kumaha éta bakal terang ngeunaan sertipikat akar ISRG Root X1 anyar? Sareng upami anjeun henteu pasang dina sistem, maka alat anjeun bakal ngabatalkeun sadaya sertipikat server Let's Encrypt pas Let's Encrypt ngalih ka akar énggal. Sareng dina ékosistem Android aya seueur alat anu luntur anu teu acan diropéa kanggo waktos anu lami.
ékosistem Android
Ieu sababna Hayu Encrypt nyangsang pindah ka akar ISRG sorangan sareng masih nganggo perantara anu turun ka akar IdenTrust. Tapi transisi kedah dilakukeun dina sagala hal. Sareng tanggal parobahan akar ditugaskeun .
Pikeun pariksa yén akar ISRG X1 dipasang dina alat anjeun (TV, set-top box atanapi klien anu sanés), buka situs tés. . Upami teu aya peringatan kaamanan muncul, maka sadayana biasana saé.
Hayu urang Encrypt sanes hiji-hijina nyanghareupan tangtangan migrasi ka akar anyar. Kriptografi dina Internét mimiti dianggo langkung ti 20 taun ka pengker, janten ayeuna waktosna seueur sertipikat akar anu badé kadaluwarsa.
Pamilik TV pinter anu teu acan diropéa software Smart TV mangtaun-taun tiasa ngalaman masalah ieu. Contona, akar GlobalSign anyar dirilis dina 2012, sarta sanggeus sababaraha Smart TV heubeul teu bisa ngawangun ranté ka dinya, sabab ngan saukur teu boga akar CA ieu. Khususna, klien ieu henteu tiasa ngadamel sambungan anu aman ka situs wéb bbc.co.uk. Pikeun ngabéréskeun masalah, pangurus BBC kedah nganggo trik: aranjeunna ngaliwatan sertipikat panengah tambahan, ngagunakeun akar heubeul и , nu tacan jadi ruksak.
www.bbc.co.uk (Daun) GlobalSign ECC OV SSL CA 2018 (panengah) GlobalSign Akar CA - R5 (panengah) GlobalSign Akar CA - R3 (panengah)
Ieu mangrupikeun solusi samentawis. Masalahna moal dileungitkeun upami anjeun ngapdet parangkat lunak klien. TV pinter dasarna mangrupikeun komputer pungsionalitas terbatas anu ngajalankeun Linux. Sareng tanpa apdet, sertipikat akar na pasti bakal janten busuk.
Ieu manglaku ka sadaya alat, sanés ngan ukur TV. Upami anjeun ngagaduhan alat anu nyambung ka Internét sareng anu diémbarkeun salaku alat "pinter", maka masalah sertipikat busuk ampir pasti aya hubunganana. Lamun alat teu diropéa, akar CA toko bakal luntur kana waktu sarta ahirna masalah bakal permukaan. Kumaha pas masalah lumangsung gumantung kana iraha toko root panungtungan diropéa. Ieu bisa jadi sababaraha taun saméméh tanggal release sabenerna alat.
Ku jalan kitu, ieu mangrupikeun masalah naha sababaraha platform média ageung henteu tiasa nganggo otoritas sertipikat otomatis modern sapertos Let's Encrypt, nyerat Scott Helme. Éta henteu cocog pikeun TV pinter, sareng jumlah akarna leutik teuing pikeun ngajamin dukungan sertipikat dina alat warisan. Upami teu kitu, TV ngan saukur moal tiasa ngaluncurkeun jasa streaming modéren.
Kajadian panganyarna sareng AddTrust nunjukkeun yén bahkan perusahaan IT ageung henteu disiapkeun pikeun kanyataan yén sertipikat akar tamat.
Aya ngan hiji solusi pikeun masalah - update. Pamekar alat pinter kedah nyayogikeun mékanisme pikeun ngapdet parangkat lunak sareng sertipikat akar sateuacanna. Di sisi anu sanés, éta henteu nguntungkeun pikeun produsén pikeun mastikeun operasi alatna saatos waktos garansi tamat.
sumber: www.habr.com