Mnamo Septemba 30 saa 17:01 saa za Moscow, cheti cha mizizi ya IdenTrust (DST Root CA X3), ambacho kilitumiwa kutia saini cheti cha mizizi ya mamlaka ya uidhinishaji ya Let's Encrypt (ISRG Root X1), ambayo inadhibitiwa na jumuiya na. hutoa vyeti bila malipo kwa kila mtu, muda wake unaisha. Utiaji saini mtambuka ulihakikisha kuwa vyeti vya Let's Encrypt viliaminika kwenye anuwai ya vifaa, mifumo ya uendeshaji na vivinjari huku cheti cha msingi cha Let's Encrypt' kikiunganishwa kwenye maduka ya cheti cha mizizi.
Hapo awali ilipangwa kwamba baada ya kuacha kutumika kwa DST Root CA X3, mradi wa Let's Encrypt utabadilika na kutoa saini kwa kutumia cheti chake cha mizizi tu, lakini hatua kama hiyo ingesababisha upotezaji wa utangamano na idadi kubwa ya mifumo ya zamani ambayo haikufanya kazi. ongeza cheti cha mizizi ya Hebu Tusimba kwenye hazina zao. Hasa, takriban 30% ya vifaa vya Android vinavyotumika havina data kwenye cheti cha mizizi ya Let's Encrypt, msaada ambao ulionekana tu kuanzia na mfumo wa Android 7.1.1, uliotolewa mwishoni mwa 2016.
Let's Encrypt haikupanga kuingia katika makubaliano mapya ya saini, kwani hii inaweka jukumu la ziada kwa wahusika kwenye makubaliano, inawanyima uhuru na inafunga mikono yao kwa kufuata taratibu na sheria za mamlaka nyingine ya uthibitisho. Lakini kutokana na matatizo yanayoweza kutokea kwenye idadi kubwa ya vifaa vya Android, mpango huo ulirekebishwa. Makubaliano mapya yalihitimishwa na mamlaka ya uidhinishaji ya IdenTrust, ndani ya mfumo ambao cheti mbadala cha Hebu Tusimba chenye cheti cha kati kiliundwa. Sahihi-tofauti itakuwa halali kwa miaka mitatu na itadumisha usaidizi kwa vifaa vya Android kuanzia toleo la 2.3.6.
Hata hivyo, cheti kipya cha kati hakijumuishi mifumo mingine mingi ya urithi. Kwa mfano, cheti cha DST Root CA X3 kinapoacha kutumika mnamo Septemba 30, vyeti vya Let's Encrypt havitakubaliwa tena kwenye mfumo dhibiti ambao hautumiki na mifumo ya uendeshaji ambayo inahitaji kuongezwa mwenyewe cheti cha ISRG Root X1 kwenye duka la cheti cha mizizi ili kuhakikisha uaminifu katika vyeti vya Let's Encrypt. . Matatizo yatajidhihirisha katika:
- OpenSSL hadi tawi 1.0.2 ikijumuisha (utunzaji wa tawi 1.0.2 ulikatishwa mnamo Desemba 2019);
- NSS <3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS <10.12.1;
- iOS <10 (iPhone <5);
- Android <2.3.6;
- Firefox ya Mozilla <50;
- Ubuntu <16.04;
- Debian <8.
Kwa upande wa OpenSSL 1.0.2, tatizo linasababishwa na hitilafu inayozuia vyeti vilivyotiwa saini kuchakatwa ipasavyo ikiwa mojawapo ya vyeti vikuu vinavyotumiwa kutia saini kitakwisha muda wake, hata kama misururu mingine halali ya uaminifu itasalia. Tatizo lilijitokeza kwa mara ya kwanza mwaka jana baada ya cheti cha AddTrust kilichotumiwa kutia saini vyeti kutoka kwa mamlaka ya uidhinishaji ya Sectigo (Comodo) kutotumika. Kiini cha tatizo ni kwamba OpenSSL ilichanganua cheti kama msururu wa mstari, ilhali kulingana na RFC 4158, cheti kinaweza kuwakilisha grafu ya duara iliyosambazwa iliyo na nanga nyingi za uaminifu ambazo zinahitaji kuzingatiwa.
Watumiaji wa usambazaji wa zamani kulingana na OpenSSL 1.0.2 wanapewa njia tatu za kutatua tatizo:
- Aliondoa mwenyewe cheti cha mizizi cha IdenTrust DST Root CA X3 na kusakinisha cheti cha kusimama pekee (hakina saini tofauti) cheti cha mizizi cha ISRG Root X1.
- Unapoendesha openssl verify na s_client amri, unaweza kutaja chaguo "--trusted_first".
- Tumia kwenye seva cheti kilichoidhinishwa na cheti tofauti cha msingi cha SRG Root X1, ambacho hakina saini mtambuka. Njia hii itasababisha kupoteza uoanifu na wateja wakubwa wa Android.
Zaidi ya hayo, tunaweza kutambua kwamba mradi wa Let's Encrypt umeshinda hatua muhimu ya vyeti bilioni mbili vilivyotolewa. Hatua hiyo bilioni moja ilifikiwa Februari mwaka jana. Vyeti vipya milioni 2.2-2.4 vinatolewa kila siku. Idadi ya vyeti vilivyotumika ni milioni 192 (cheti ni halali kwa miezi mitatu) na inashughulikia vikoa milioni 260 (vikoa milioni 195 vilishughulikiwa mwaka mmoja uliopita, milioni 150 miaka miwili iliyopita, milioni 60 miaka mitatu iliyopita). Kulingana na takwimu kutoka kwa huduma ya Firefox Telemetry, sehemu ya kimataifa ya maombi ya ukurasa kupitia HTTPS ni 82% (mwaka mmoja uliopita - 81%, miaka miwili iliyopita - 77%, miaka mitatu iliyopita - 69%, miaka minne iliyopita - 58%).
Chanzo: opennet.ru