Dina 30 Séptémber jam 17:01 waktos Moscow, sertipikat akar IdenTrust (DST Root CA X3), anu dianggo pikeun ngadaptarkeun sertipikat akar otoritas sertifikasi Let's Encrypt (ISRG Root X1), anu dikawasa ku komunitas sareng nyadiakeun sertipikat haratis ka dulur, kadaluwarsa. Penandatanganan silang mastikeun yén sertipikat Let's Encrypt dipercaya dina rupa-rupa alat, sistem operasi, sareng browser bari sertipikat akar Let's Encrypt diintegrasikeun kana toko sertipikat akar.
Asalna direncanakeun yén saatos deprecation of DST Root CA X3, proyék Let's Encrypt bakal ngalih ka ngahasilkeun tanda tangan ngan ukur nganggo sertipikat akar na, tapi pamindahan sapertos kitu bakal nyababkeun leungitna kasaluyuan sareng sajumlah ageung sistem anu langkung lami anu henteu. tambahkeun sertipikat akar Hayu Encrypt kana repositori na. Khususna, sakitar 30% alat Android anu dianggo henteu gaduh data dina sertipikat akar Hayu Encrypt, dukungan anu muncul ngan ukur dimimitian ku platform Android 7.1.1, dirilis dina ahir 2016.
Hayu Encrypt teu rencanana pikeun asup kana pasatujuan cross-signature anyar, sabab ieu imposes tanggung jawab tambahan dina pihak ka pasatujuan, deprives aranjeunna kamerdikaan jeung dasi leungeun maranéhna dina watesan patuh kana sagala prosedur jeung aturan otoritas sertifikasi sejen. Tapi kusabab masalah poténsial dina sajumlah ageung alat Android, rencana éta dirévisi. Perjangjian anyar disimpulkeun sareng otoritas sertifikasi IdenTrust, dina kerangka dimana sertipikat perantara Let's Encrypt anu ditandatanganan silang alternatif diciptakeun. The cross-signature bakal valid salila tilu taun sarta bakal ngajaga rojongan pikeun alat Android dimimitian ku versi 2.3.6.
Tapi, sertipikat panengah anyar henteu nutupan seueur sistem warisan anu sanés. Contona, nalika sertipikat DST Akar CA X3 deprecates on September 30, sertipikat Hayu Encrypt moal deui katampa dina firmware unsupported sarta sistem operasi anu merlukeun sacara manual nambahkeun sertipikat ISRG Akar X1 ka toko sertipikat root pikeun mastikeun kapercayaan di sertipikat Hayu urang Encrypt. . Masalah bakal manifest sorangan dina:
- OpenSSL nepi ka cabang 1.0.2 inklusif (pangropéa cabang 1.0.2 dieureunkeun dina bulan Désémber 2019);
- NSS <3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- ios <10 (iPhone <5);
- Android <2.3.6;
- Mozilla Firefox <50;
- Ubuntu < 16.04;
- Debian <8.
Dina kasus OpenSSL 1.0.2, masalahna disababkeun ku bug anu nyegah sertipikat anu ditandatanganan silang tina diolah leres upami salah sahiji sertipikat akar anu dianggo pikeun ngadaptarkeun kadaluwarsa, sanaos ranté kapercayaan anu sanés tetep. Masalahna mimiti muncul taun ka tukang saatos sertipikat AddTrust anu dianggo pikeun tanda silang sertipikat ti otoritas sertifikasi Sectigo (Comodo) janten leungit. Inti masalahna nyaéta OpenSSL nyéépkeun sertipikat salaku ranté linier, sedengkeun numutkeun RFC 4158, sertipikat tiasa ngagambarkeun grafik sirkular anu disebarkeun diarahkeun sareng sababaraha jangkar amanah anu kedah diperhatoskeun.
Pamaké distribusi heubeul dumasar kana OpenSSL 1.0.2 ditawarkeun tilu workarounds pikeun ngajawab masalah:
- Sacara manual dipiceun sertipikat akar IdenTrust DST Root CA X3 sareng dipasang sertipikat akar ISRG Root X1 anu mandiri (henteu ditandatanganan silang).
- Nalika ngajalankeun paréntah openssl verifikasi sareng s_client, anjeun tiasa netepkeun pilihan "--trusted_first".
- Paké dina server sertipikat Certified ku sertipikat root misah SRG Akar X1, nu teu boga cross-signature. Metoda ieu bakal ngakibatkeun leungitna kasaluyuan jeung klien Android heubeul.
Salaku tambahan, urang tiasa dicatet yén proyék Let's Encrypt parantos ngatasi tonggak tina dua milyar sertipikat anu dihasilkeun. Samilyar milestone dihontal dina bulan Pebruari taun ka tukang. 2.2-2.4 juta sertipikat anyar dihasilkeun unggal dinten. Jumlah sertipikat aktip nyaéta 192 juta (sertipikat valid pikeun tilu bulan) sareng nyertakeun sakitar 260 juta domain (195 juta domain katutupan sataun katukang, 150 juta dua taun ka pengker, 60 juta tilu taun ka pengker). Numutkeun statistik tina jasa Firefox Telemetry, pangsa global requests kaca via HTTPS nyaéta 82% (sataun katukang - 81%, dua taun ka tukang - 77%, tilu taun ka pengker - 69%, opat taun ka tukang - 58%).
sumber: opennet.ru