ஒரு இணையத்தளத்தை அங்கீகரிப்பதற்காக உலாவிக்கு, அது சரியான சான்றிதழ் சங்கிலியுடன் காட்சியளிக்கிறது. ஒரு பொதுவான சங்கிலி மேலே காட்டப்பட்டுள்ளது, மேலும் ஒன்றுக்கும் மேற்பட்ட இடைநிலைச் சான்றிதழ்கள் இருக்கலாம். செல்லுபடியாகும் சங்கிலியில் குறைந்தபட்ச சான்றிதழ்களின் எண்ணிக்கை மூன்று ஆகும்.
ரூட் சான்றிதழ் சான்றிதழ் அதிகாரத்தின் இதயம். இது உண்மையில் உங்கள் OS அல்லது உலாவியில் கட்டமைக்கப்பட்டுள்ளது, இது உங்கள் சாதனத்தில் உள்ளது. அதை சர்வர் பக்கத்திலிருந்து மாற்ற முடியாது. சாதனத்தில் OS அல்லது firmware இன் கட்டாயப் புதுப்பித்தல் தேவை.
பாதுகாப்பு நிபுணர் ஸ்காட் ஹெல்ம் , லெட்ஸ் என்க்ரிப்ட் சான்றிதழில் முக்கிய சிக்கல்கள் எழும், ஏனெனில் இன்று இது இணையத்தில் மிகவும் பிரபலமான CA ஆகும், மேலும் அதன் ரூட் சான்றிதழ் விரைவில் மோசமாகிவிடும். லெட்ஸ் என்க்ரிப்ட் ரூட்டை மாற்றுதல் .
சான்றிதழ் ஆணையத்தின் (CA) இறுதி மற்றும் இடைநிலை சான்றிதழ்கள் சேவையகத்திலிருந்து கிளையண்டிற்கு வழங்கப்படுகின்றன, மேலும் ரூட் சான்றிதழ் கிளையண்டிடம் இருந்து வழங்கப்படுகிறது. ஏற்கனவே உள்ளது, எனவே இந்தச் சான்றிதழ்களின் தொகுப்பின் மூலம் ஒருவர் சங்கிலியை உருவாக்கி இணையதளத்தை அங்கீகரிக்கலாம்.
பிரச்சனை என்னவென்றால், ஒவ்வொரு சான்றிதழுக்கும் காலாவதி தேதி உள்ளது, அதன் பிறகு அதை மாற்ற வேண்டும். எடுத்துக்காட்டாக, செப்டம்பர் 1, 2020 முதல், சஃபாரி உலாவியில் சர்வர் TLS சான்றிதழ்களின் செல்லுபடியாகும் காலத்திற்கு வரம்பை அறிமுகப்படுத்த திட்டமிட்டுள்ளனர். .
இதன் பொருள், குறைந்தபட்சம் ஒவ்வொரு 12 மாதங்களுக்கும் நாம் அனைவரும் எங்கள் சர்வர் சான்றிதழ்களை மாற்ற வேண்டும். இந்த கட்டுப்பாடு சர்வர் சான்றிதழ்களுக்கு மட்டுமே பொருந்தும்; அது இல்லை ரூட் CA சான்றிதழ்களுக்கு பொருந்தும்.
CA சான்றிதழ்கள் வெவ்வேறு விதிமுறைகளால் நிர்வகிக்கப்படுகின்றன, எனவே வெவ்வேறு செல்லுபடியாகும் வரம்புகள் உள்ளன. 5 ஆண்டுகள் செல்லுபடியாகும் காலத்துடன் இடைநிலைச் சான்றிதழ்கள் மற்றும் 25 ஆண்டுகள் சேவை வாழ்க்கையுடன் ரூட் சான்றிதழ்களைக் கண்டுபிடிப்பது மிகவும் பொதுவானது!
இடைநிலைச் சான்றிதழ்களில் பொதுவாக எந்தப் பிரச்சினையும் இல்லை, ஏனெனில் அவை சேவையகத்தால் கிளையண்டிற்கு வழங்கப்படுகின்றன, அதுவே அதன் சொந்த சான்றிதழை அடிக்கடி மாற்றுகிறது, எனவே இது செயல்பாட்டில் இடைநிலை ஒன்றை மாற்றுகிறது. ரூட் CA சான்றிதழைப் போலல்லாமல், சர்வர் சான்றிதழுடன் அதை மாற்றுவது மிகவும் எளிதானது.
நாங்கள் ஏற்கனவே கூறியது போல், ரூட் CA நேரடியாக கிளையன்ட் சாதனத்தில், OS, உலாவி அல்லது பிற மென்பொருளில் கட்டமைக்கப்பட்டுள்ளது. ரூட் CA ஐ மாற்றுவது வலைத்தளத்தின் கட்டுப்பாட்டிற்கு அப்பாற்பட்டது. இதற்கு கிளையண்டில் புதுப்பித்தல் தேவை, அது OS அல்லது மென்பொருள் புதுப்பிப்பாக இருக்கலாம்.
சில ரூட் CA கள் மிக நீண்ட காலமாக உள்ளன, நாங்கள் 20-25 ஆண்டுகள் பற்றி பேசுகிறோம். விரைவில் சில பழமையான ரூட் CAக்கள் தங்கள் இயல்பு வாழ்க்கையின் முடிவை நெருங்கும், அவர்களின் நேரம் கிட்டத்தட்ட முடிந்துவிட்டது. CAக்கள் புதிய ரூட் சான்றிதழ்களை உருவாக்கி, பல ஆண்டுகளாக OS மற்றும் உலாவி புதுப்பிப்புகளில் உலகம் முழுவதும் விநியோகிக்கப்படுவதால், நம்மில் பெரும்பாலோருக்கு இது ஒரு பிரச்சனையாக இருக்காது. ஆனால் யாரேனும் ஒருவர் தனது OS அல்லது உலாவியை மிக நீண்ட காலமாக புதுப்பிக்கவில்லை என்றால், அது ஒருவித பிரச்சனை.
இந்த நிலை மே 30, 2020 அன்று 10:48:38 GMTக்கு ஏற்பட்டது. இதுவே சரியான நேரம் கொமோடோ சான்றிதழ் ஆணையத்திடமிருந்து (செக்டிகோ).
தங்கள் ஸ்டோரில் புதிய USERTrust ரூட் சான்றிதழைக் கொண்டிருக்காத மரபு சாதனங்களுடன் இணக்கத்தன்மையை உறுதிப்படுத்த, குறுக்கு-கையொப்பமிடுவதற்கு இது பயன்படுத்தப்பட்டது.
துரதிர்ஷ்டவசமாக, மரபு உலாவிகளில் மட்டுமல்ல, OpenSSL 1.0.x, LibreSSL மற்றும் அடிப்படையிலான உலாவி அல்லாத கிளையண்டுகளிலும் சிக்கல்கள் எழுந்தன. . உதாரணமாக, செட்-டாப் பாக்ஸ்களில் , சேவை , Fortinet இல், Chargify பயன்பாடுகள், .NET Core 2.0 இயங்குதளத்தில் Linux மற்றும் .
நவீன உலாவிகள் இரண்டாவது USERTRust ரூட் சான்றிதழைப் பயன்படுத்துவதால், இந்தச் சிக்கல் மரபு அமைப்புகளை (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, முதலியன) மட்டுமே பாதிக்கும் என்று கருதப்பட்டது. ஆனால் உண்மையில், இலவச OpenSSL 1.0.x மற்றும் GnuTLS நூலகங்களைப் பயன்படுத்தும் நூற்றுக்கணக்கான இணைய சேவைகளில் தோல்விகள் தொடங்கின. சான்றிதழ் காலாவதியானது என்பதைக் குறிக்கும் பிழைச் செய்தியுடன் பாதுகாப்பான இணைப்பை இனி நிறுவ முடியாது.
அடுத்து - குறியாக்கம் செய்வோம்
வரவிருக்கும் ரூட் CA மாற்றத்திற்கான மற்றொரு சிறந்த உதாரணம் லெட்ஸ் என்க்ரிப்ட் சான்றிதழ் அதிகாரம் ஆகும். மேலும் அவர்கள் Identrust சங்கிலியிலிருந்து தங்கள் சொந்த ISRG ரூட் சங்கிலிக்கு மாற திட்டமிட்டனர், ஆனால் இது .
"ஆண்ட்ராய்டு சாதனங்களில் ஐஎஸ்ஆர்ஜி ரூட் பயன்படுத்தப்படாததால், நேட்டிவ் ரூட் மாற்றம் தேதியை ஜூலை 8, 2019 முதல் ஜூலை 8, 2020க்கு மாற்ற முடிவு செய்துள்ளோம்" என்று லெட்ஸ் என்க்ரிப்ட் ஒரு அறிக்கையில் தெரிவித்துள்ளது.
"ரூட் ப்ராபகேஷன்" எனப்படும் பிரச்சனையின் காரணமாக அல்லது இன்னும் துல்லியமாக, ரூட் CA ஆனது அனைத்து கிளையன்ட்களிலும் பரவலாக விநியோகிக்கப்படாத போது, ரூட் பரவல் இல்லாததால் தேதி ஒத்திவைக்கப்பட்டது.
லெட்ஸ் என்க்ரிப்ட் தற்போது IdenTrust DST ரூட் CA X3 உடன் இணைக்கப்பட்ட குறுக்கு-கையொப்பமிடப்பட்ட இடைநிலைச் சான்றிதழைப் பயன்படுத்துகிறது. இந்த ரூட் சான்றிதழ் செப்டம்பர் 2000 இல் மீண்டும் வழங்கப்பட்டது மற்றும் செப்டம்பர் 30, 2021 அன்று காலாவதியாகிறது. அதுவரை, லெட்ஸ் என்க்ரிப்ட் அதன் சொந்த கையொப்பமிடப்பட்ட ISRG ரூட் X1 க்கு மாற திட்டமிட்டுள்ளது.
ISRG ரூட் ஜூன் 4, 2015 அன்று வெளியிடப்பட்டது. இதற்குப் பிறகு, ஒரு சான்றிதழ் ஆணையமாக அதன் ஒப்புதலுக்கான செயல்முறை தொடங்கியது, அது முடிந்தது . இந்த கட்டத்தில் இருந்து, ரூட் CA அனைத்து வாடிக்கையாளர்களுக்கும் ஒரு இயக்க முறைமை அல்லது மென்பொருள் மேம்படுத்தல் மூலம் கிடைத்தது. நீங்கள் செய்ய வேண்டியதெல்லாம் புதுப்பிப்பை நிறுவ வேண்டும்.
ஆனால் அதுதான் பிரச்சனை.
உங்கள் மொபைல் போன், டிவி அல்லது பிற சாதனம் இரண்டு ஆண்டுகளாக புதுப்பிக்கப்படாமல் இருந்தால், புதிய ISRG ரூட் X1 ரூட் சான்றிதழைப் பற்றி அது எப்படி அறிந்து கொள்ளும்? நீங்கள் அதை கணினியில் நிறுவவில்லை என்றால், புதிய ரூட்டிற்கு லெட்ஸ் என்க்ரிப்ட் மாறியவுடன் உங்கள் சாதனம் அனைத்து லெட்ஸ் என்க்ரிப்ட் சர்வர் சான்றிதழ்களையும் செல்லாததாக்கும். மேலும் ஆண்ட்ராய்டு சுற்றுச்சூழல் அமைப்பில் நீண்ட காலமாக புதுப்பிக்கப்படாத பல காலாவதியான சாதனங்கள் உள்ளன.
ஆண்ட்ராய்டு சுற்றுச்சூழல்
இதனால்தான் லெட்ஸ் என்க்ரிப்ட் அதன் சொந்த ஐஎஸ்ஆர்ஜி ரூட்டிற்குச் செல்வதை தாமதப்படுத்தியது மற்றும் இன்னும் ஐடென்ட்ரஸ்ட் ரூட்டிற்குச் செல்லும் இடைநிலையைப் பயன்படுத்துகிறது. ஆனால் எந்தவொரு சந்தர்ப்பத்திலும் மாற்றம் செய்யப்பட வேண்டும். மற்றும் ரூட் மாற்றத்தின் தேதி ஒதுக்கப்பட்டுள்ளது .
உங்கள் சாதனத்தில் (டிவி, செட்-டாப் பாக்ஸ் அல்லது பிற கிளையன்ட்) ISRG X1 ரூட் நிறுவப்பட்டுள்ளதா என்பதைச் சரிபார்க்க, சோதனைத் தளத்தைத் திறக்கவும் . பாதுகாப்பு எச்சரிக்கை எதுவும் தோன்றவில்லை என்றால், பொதுவாக எல்லாம் நன்றாக இருக்கும்.
லெட்ஸ் என்க்ரிப்ட் மட்டும் ஒரு புதிய ரூட்டிற்கு இடம்பெயர்வதற்கான சவாலை எதிர்கொள்ளவில்லை. இணையத்தில் கிரிப்டோகிராஃபி 20 ஆண்டுகளுக்கு முன்பு பயன்படுத்தத் தொடங்கியது, எனவே பல ரூட் சான்றிதழ்கள் காலாவதியாகும் நேரம் இது.
பல ஆண்டுகளாக ஸ்மார்ட் டிவி மென்பொருளைப் புதுப்பிக்காத ஸ்மார்ட் டிவிகளின் உரிமையாளர்கள் இந்த சிக்கலை சந்திக்கலாம். எடுத்துக்காட்டாக, புதிய GlobalSign ரூட் 2012 இல் வெளியிடப்பட்டது, சில பழைய ஸ்மார்ட் டிவிகளுக்குப் பிறகு ஒரு சங்கிலியை உருவாக்க முடியாது, ஏனெனில் இந்த ரூட் CA இல்லை. குறிப்பாக, இந்த வாடிக்கையாளர்களால் bbc.co.uk இணையதளத்துடன் பாதுகாப்பான இணைப்பை ஏற்படுத்த முடியவில்லை. சிக்கலைத் தீர்க்க, பிபிசி நிர்வாகிகள் ஒரு தந்திரத்தை நாட வேண்டியிருந்தது: அவர்கள் பழைய வேர்களைப் பயன்படுத்தி கூடுதல் இடைநிலைச் சான்றிதழ்கள் மூலம் и , இன்னும் அழுகிப் போகாதவை.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (இடைநிலை) GlobalSign Root CA - R5 (இடைநிலை) GlobalSign Root CA - R3 (இடைநிலை)
இது ஒரு தற்காலிக தீர்வு. நீங்கள் கிளையன்ட் மென்பொருளைப் புதுப்பிக்கும் வரை சிக்கல் நீங்காது. ஸ்மார்ட் டிவி என்பது லினக்ஸில் இயங்கும் வரையறுக்கப்பட்ட செயல்பாட்டுக் கணினி ஆகும். மேம்படுத்தல்கள் இல்லாமல், அதன் மூலச் சான்றிதழ்கள் தவிர்க்க முடியாமல் அழுகிவிடும்.
இது டிவிகளுக்கு மட்டுமல்ல, எல்லா சாதனங்களுக்கும் பொருந்தும். உங்களிடம் இணையத்துடன் இணைக்கப்பட்ட மற்றும் "ஸ்மார்ட்" சாதனம் என்று விளம்பரப்படுத்தப்பட்ட ஏதேனும் சாதனம் இருந்தால், அழுகிய சான்றிதழ்களின் சிக்கல் நிச்சயமாக அதைப் பற்றியது. சாதனம் புதுப்பிக்கப்படாவிட்டால், ரூட் CA ஸ்டோர் காலப்போக்கில் காலாவதியாகிவிடும், இறுதியில் சிக்கல் தோன்றும். ரூட் ஸ்டோர் கடைசியாக எப்போது புதுப்பிக்கப்பட்டது என்பதைப் பொறுத்து எவ்வளவு விரைவில் சிக்கல் ஏற்படுகிறது. இது சாதனத்தின் உண்மையான வெளியீட்டுத் தேதிக்கு பல ஆண்டுகளுக்கு முன்பே இருக்கலாம்.
லெட்ஸ் என்க்ரிப்ட் போன்ற நவீன தானியங்கி சான்றிதழ் அதிகாரங்களை சில பெரிய ஊடக தளங்கள் பயன்படுத்த முடியாததற்கு இதுவே பிரச்சனை என்று ஸ்காட் ஹெல்ம் எழுதுகிறார். அவை ஸ்மார்ட் டிவிகளுக்குப் பொருத்தமானவை அல்ல, மேலும் மரபு சாதனங்களில் சான்றிதழ் ஆதரவுக்கு உத்தரவாதம் அளிக்க முடியாத அளவுக்கு ரூட்களின் எண்ணிக்கை மிகவும் சிறியதாக உள்ளது. இல்லையெனில், டிவியால் நவீன ஸ்ட்ரீமிங் சேவைகளைத் தொடங்க முடியாது.
AddTrust உடனான சமீபத்திய சம்பவம், ரூட் சான்றிதழ் காலாவதியாகும் உண்மைக்கு பெரிய ஐடி நிறுவனங்கள் கூட தயாராக இல்லை என்பதைக் காட்டுகிறது.
பிரச்சனைக்கு ஒரே ஒரு தீர்வு உள்ளது - மேம்படுத்தல். ஸ்மார்ட் சாதனங்களை உருவாக்குபவர்கள், மென்பொருள் மற்றும் ரூட் சான்றிதழ்களை முன்கூட்டியே புதுப்பிப்பதற்கான வழிமுறையை வழங்க வேண்டும். மறுபுறம், உத்தரவாதக் காலம் காலாவதியான பிறகு உற்பத்தியாளர்கள் தங்கள் சாதனங்களின் செயல்பாட்டை உறுதிப்படுத்துவது லாபகரமானது அல்ல.
ஆதாரம்: www.habr.com