Ili kivinjari kiidhinishe tovuti, inajiwasilisha na msururu wa cheti halali. Mlolongo wa kawaida umeonyeshwa hapo juu, na kunaweza kuwa na zaidi ya cheti kimoja cha kati. Idadi ya chini ya vyeti katika mlolongo halali ni tatu.
Cheti cha mizizi ndio moyo wa mamlaka ya cheti. Imeundwa ndani ya Mfumo wa Uendeshaji au kivinjari chako, iko kwenye kifaa chako. Haiwezi kubadilishwa kutoka upande wa seva. Sasisho la kulazimishwa la OS au firmware kwenye kifaa inahitajika.
Mtaalamu wa Usalama Scott Helme , kwamba matatizo makuu yatatokea na mamlaka ya vyeti ya Hebu Tufiche, kwa sababu leo ββni CA maarufu zaidi kwenye mtandao, na cheti chake cha mizizi kitaenda vibaya hivi karibuni. Kubadilisha mzizi wa Let's Encrypt .
Vyeti vya mwisho na vya kati vya mamlaka ya uthibitishaji (CA) huwasilishwa kwa mteja kutoka kwa seva, na cheti cha mizizi kinatoka kwa mteja. tayari, kwa hivyo kwa mkusanyiko huu wa vyeti mtu anaweza kujenga mlolongo na kuthibitisha tovuti.
Tatizo ni kwamba kila cheti kina tarehe ya kumalizika muda wake, baada ya hapo inahitaji kubadilishwa. Kwa mfano, kuanzia Septemba 1, 2020, wanapanga kuwekea kikomo cha muda wa uhalali wa vyeti vya TLS vya seva kwenye kivinjari cha Safari. .
Hii inamaanisha kuwa sote tutalazimika kubadilisha vyeti vyetu vya seva angalau kila baada ya miezi 12. Kizuizi hiki kinatumika kwa vyeti vya seva pekee; it hakuna inatumika kwa vyeti vya CA vya mizizi.
Vyeti vya CA vinatawaliwa na seti tofauti ya sheria na kwa hivyo vina vikomo tofauti vya uhalali. Ni kawaida sana kupata vyeti vya kati na muda wa uhalali wa miaka 5 na vyeti vya mizizi na maisha ya huduma ya hata miaka 25!
Kawaida hakuna shida na cheti cha kati, kwa sababu hutolewa kwa mteja na seva, ambayo yenyewe hubadilisha cheti chake mara nyingi zaidi, kwa hivyo inachukua nafasi ya kati katika mchakato. Ni rahisi sana kuibadilisha pamoja na cheti cha seva, tofauti na cheti cha mizizi ya CA.
Kama tulivyokwisha sema, mizizi CA imejengwa moja kwa moja kwenye kifaa cha mteja yenyewe, kwenye OS, kivinjari au programu nyingine. Kubadilisha mzizi wa CA ni nje ya udhibiti wa tovuti. Hii inahitaji sasisho kwa mteja, iwe OS au sasisho la programu.
Baadhi ya CA za mizizi zimekuwepo kwa muda mrefu sana, tunazungumzia kuhusu miaka 20-25. Hivi karibuni baadhi ya mizizi ya zamani ya CA itakaribia mwisho wa maisha yao ya asili, wakati wao unakaribia. Kwa wengi wetu hili halitakuwa tatizo hata kidogo kwa sababu CAs zimeunda vyeti vipya vya mizizi na zimesambazwa duniani kote katika OS na visasisho vya vivinjari kwa miaka mingi. Lakini ikiwa mtu hajasasisha OS au kivinjari chake kwa muda mrefu sana, ni aina ya shida.
Hali hii ilitokea tarehe 30 Mei 2020 saa 10:48:38 GMT. Huu ndio wakati halisi kutoka kwa mamlaka ya vyeti ya Comodo (Sectigo).
Ilitumika kutia saini ili kuhakikisha uoanifu na vifaa vilivyopitwa na wakati ambavyo havina cheti kipya cha USERTrust katika duka lao.
Kwa bahati mbaya, matatizo yalizuka sio tu katika vivinjari vilivyopitwa na wakati, bali pia kwa wateja wasio na vivinjari kulingana na OpenSSL 1.0.x, LibreSSL na . Kwa mfano, katika masanduku ya kuweka-juu , huduma , katika Fortinet, Chaji programu, kwenye jukwaa la .NET Core 2.0 la Linux na .
Ilichukuliwa kuwa tatizo lingeathiri tu mifumo ya urithi (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, nk), kwa kuwa vivinjari vya kisasa vinaweza kutumia cheti cha pili cha USERTRust. Lakini kwa kweli, kushindwa kulianza katika mamia ya huduma za wavuti ambazo zilitumia maktaba za OpenSSL 1.0.x na GnuTLS bila malipo. Muunganisho salama haukuweza kuanzishwa tena kwa ujumbe wa hitilafu unaoonyesha kuwa cheti kimepitwa na wakati.
Inayofuata - Wacha Tusimba
Mfano mwingine mzuri wa mabadiliko yajayo ya CA ni mamlaka ya cheti cha Let's Encrypt. Zaidi walipanga kubadili kutoka kwa mnyororo wa Identrust hadi mnyororo wao wa ISRG Root, lakini hii .
"Kwa sababu ya wasiwasi kuhusu kutopitishwa kwa mzizi wa ISRG kwenye vifaa vya Android, tumeamua kuhamisha tarehe ya mpito ya asili kutoka Julai 8, 2019 hadi Julai 8, 2020," Let's Encrypt ilisema katika taarifa.
Tarehe ilibidi kuahirishwa kwa sababu ya tatizo linaloitwa "uenezi wa mizizi", au kwa usahihi zaidi, ukosefu wa uenezi wa mizizi, wakati mizizi CA haijasambazwa sana kwa wateja wote.
Hebu Tusimba kwa njia fiche kwa sasa hutumia cheti cha kati kilichotiwa saini kwa njia tofauti kilichofungwa kwa IdenTrust DST Root CA X3. Cheti hiki cha mizizi kilitolewa mnamo Septemba 2000 na muda wake utaisha mnamo Septemba 30, 2021. Hadi wakati huo, Let's Encrypt mipango ya kuhamia ISRG Root X1 iliyojiandikisha yenyewe.
ISRG mizizi iliyotolewa mnamo Juni 4, 2015. Baada ya hayo, mchakato wa kuidhinishwa kwake kama mamlaka ya uthibitisho ulianza, ambao uliisha . Kuanzia wakati huu na kuendelea, mizizi ya CA ilipatikana kwa wateja wote kupitia mfumo wa uendeshaji au sasisho la programu. Ulichohitaji kufanya ni kusakinisha sasisho.
Lakini hilo ndilo tatizo.
Ikiwa simu yako ya rununu, TV au kifaa kingine hakijasasishwa kwa miaka miwili, itajuaje kuhusu cheti kipya cha mizizi cha ISRG Root X1? Na usipoisakinisha kwenye mfumo, basi kifaa chako kitabatilisha vyeti vyote vya seva ya Hebu Tusimbe kwa njia fiche pindi tu Tusimbe kwa njia fiche kitakapobadilisha hadi mzizi mpya. Na katika mfumo wa ikolojia wa Android kuna vifaa vingi vya kizamani ambavyo havijasasishwa kwa muda mrefu.
Mfumo ikolojia wa Android
Hii ndiyo sababu Hebu Tusimbe kwa njia fiche kucheleweshwa kuhamia kwenye mzizi wake wa ISRG na bado tunatumia kati ambayo inashuka hadi kwenye mzizi wa IdenTrust. Lakini mpito italazimika kufanywa kwa hali yoyote. Na tarehe ya mabadiliko ya mizizi imepewa .
Ili kuhakikisha kuwa ISRG X1 root imesakinishwa kwenye kifaa chako (TV, kisanduku cha kuweka juu au mteja mwingine), fungua tovuti ya majaribio. . Ikiwa hakuna onyo la usalama linaonekana, basi kila kitu ni sawa.
Let's Encrypt sio pekee inayokabiliwa na changamoto ya kuhamia mzizi mpya. Cryptography kwenye Mtandao ilianza kutumika kidogo zaidi ya miaka 20 iliyopita, kwa hivyo sasa ni wakati ambapo vyeti vingi vya mizizi vinakaribia kuisha.
Wamiliki wa Televisheni mahiri ambao hawajasasisha programu ya Smart TV kwa miaka mingi wanaweza kukutana na tatizo hili. Kwa mfano, mzizi mpya wa GlobalSign ilitolewa mnamo 2012, na baada ya Televisheni zingine za zamani za Smart haziwezi kuunda mnyororo kwake, kwa sababu hazina mizizi hii ya CA. Hasa, wateja hawa hawakuweza kuanzisha muunganisho salama kwa tovuti ya bbc.co.uk. Ili kutatua tatizo hilo, wasimamizi wa BBC walilazimika kutumia hila: wao kupitia vyeti vya ziada vya kati, kwa kutumia mizizi ya zamani ΠΈ , ambazo bado hazijaoza.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Intermediate) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (Intermediate)
Hili ni suluhisho la muda. Tatizo halitaisha isipokuwa usasishe programu ya mteja. Televisheni mahiri kimsingi ni kompyuta yenye utendakazi mdogo inayoendesha Linux. Na bila sasisho, vyeti vyake vya mizizi vitaoza.
Hii inatumika kwa vifaa vyote, sio TV tu. Ikiwa una kifaa chochote ambacho kimeunganishwa kwenye Mtandao na ambacho kilitangazwa kama kifaa cha "smart", basi tatizo la vyeti vilivyooza karibu linahusu. Ikiwa kifaa hakijasasishwa, hifadhi ya mizizi ya CA itapitwa na wakati baada ya muda na hatimaye tatizo litajitokeza. Je, tatizo hutokea kwa muda gani inategemea wakati duka la mizizi lilisasishwa mara ya mwisho. Hii inaweza kuwa miaka kadhaa kabla ya tarehe halisi ya kutolewa kwa kifaa.
Kwa njia, hili ndilo tatizo kwa nini baadhi ya majukwaa makubwa ya vyombo vya habari hayawezi kutumia mamlaka ya kisasa ya cheti otomatiki kama vile Let's Encrypt, anaandika Scott Helme. Hazifai kwa runinga mahiri, na idadi ya mizizi ni ndogo mno kudhamini usaidizi wa cheti kwenye vifaa vilivyopitwa na wakati. Vinginevyo, TV haitaweza kuzindua huduma za kisasa za utiririshaji.
Tukio la hivi karibuni na AddTrust lilionyesha kuwa hata kampuni kubwa za IT hazijatayarishwa kwa ukweli kwamba cheti cha mizizi kinaisha.
Kuna suluhisho moja tu kwa shida - sasisha. Watengenezaji wa vifaa mahiri lazima watoe utaratibu wa kusasisha programu na vyeti vya mizizi mapema. Kwa upande mwingine, sio faida kwa wazalishaji kuhakikisha uendeshaji wa vifaa vyao baada ya muda wa udhamini kumalizika.
Chanzo: mapenzi.com