செப்டம்பர் 30 அன்று 17:01 மாஸ்கோ நேரப்படி, IdenTrust ரூட் சான்றிதழ் (DST ரூட் CA X3), இது சமூகத்தால் கட்டுப்படுத்தப்படும் லெட்ஸ் என்க்ரிப்ட் சான்றிதழின் (ISRG ரூட் X1) ரூட் சான்றிதழில் குறுக்கு கையொப்பமிட பயன்படுத்தப்பட்டது. அனைவருக்கும் இலவசமாக சான்றிதழ்களை வழங்குகிறது, காலாவதியாகிறது. க்ராஸ்-கையொப்பமிடுதல், லெட்ஸ் என்க்ரிப்ட் சான்றிதழ்கள் பலதரப்பட்ட சாதனங்கள், இயக்க முறைமைகள் மற்றும் உலாவிகளில் நம்பகமானதாக இருப்பதை உறுதிசெய்தது, அதே நேரத்தில் லெட்ஸ் என்க்ரிப்ட்டின் சொந்த ரூட் சான்றிதழ் ரூட் சான்றிதழ் கடைகளில் ஒருங்கிணைக்கப்பட்டது.
டிஎஸ்டி ரூட் சிஏ எக்ஸ்3 நீக்கப்பட்ட பிறகு, லெட்ஸ் என்க்ரிப்ட் திட்டம் அதன் ரூட் சான்றிதழைப் பயன்படுத்தி கையொப்பங்களை உருவாக்குவதற்கு மாற வேண்டும் என்று முதலில் திட்டமிடப்பட்டது, ஆனால் அத்தகைய நடவடிக்கை அதிக எண்ணிக்கையிலான பழைய அமைப்புகளுடன் இணக்கத்தன்மையை இழக்க வழிவகுக்கும் லெட்ஸ் என்க்ரிப்ட் ரூட் சான்றிதழை அவற்றின் களஞ்சியங்களில் சேர்க்கவும். குறிப்பாக, பயன்பாட்டில் உள்ள சுமார் 30% ஆண்ட்ராய்டு சாதனங்களில் லெட்ஸ் என்க்ரிப்ட் ரூட் சான்றிதழில் தரவு இல்லை, அதற்கான ஆதரவு 7.1.1 ஆம் ஆண்டின் இறுதியில் வெளியிடப்பட்ட ஆண்ட்ராய்டு 2016 இயங்குதளத்தில் மட்டுமே தோன்றியது.
லெட்ஸ் என்க்ரிப்ட் ஒரு புதிய குறுக்கு-கையொப்ப ஒப்பந்தத்தில் நுழையத் திட்டமிடவில்லை, ஏனெனில் இது ஒப்பந்தத்தில் உள்ள தரப்பினருக்கு கூடுதல் பொறுப்பை சுமத்துகிறது, அவர்களின் சுதந்திரத்தை இழக்கிறது மற்றும் மற்றொரு சான்றிதழ் ஆணையத்தின் அனைத்து நடைமுறைகள் மற்றும் விதிகளுக்கு இணங்க அவர்களின் கைகளை பிணைக்கிறது. ஆனால் அதிக எண்ணிக்கையிலான ஆண்ட்ராய்டு சாதனங்களில் உள்ள சிக்கல்கள் காரணமாக, திட்டம் திருத்தப்பட்டது. IdenTrust சான்றிதழ் ஆணையத்துடன் ஒரு புதிய ஒப்பந்தம் முடிவுக்கு வந்தது, அதன் கட்டமைப்பிற்குள் குறுக்கு கையொப்பமிடப்பட்ட லெட்ஸ் என்க்ரிப்ட் இடைநிலைச் சான்றிதழ் உருவாக்கப்பட்டது. குறுக்கு கையொப்பம் மூன்று ஆண்டுகளுக்கு செல்லுபடியாகும் மற்றும் பதிப்பு 2.3.6 இல் தொடங்கும் Android சாதனங்களுக்கான ஆதரவைப் பராமரிக்கும்.
இருப்பினும், புதிய இடைநிலைச் சான்றிதழ் பல மரபு அமைப்புகளை உள்ளடக்கவில்லை. எடுத்துக்காட்டாக, செப்டம்பர் 3 அன்று DST ரூட் CA X30 சான்றிதழ் நிறுத்தப்படும்போது, லெட்ஸ் என்க்ரிப்ட் சான்றிதழ்கள் மீதான நம்பிக்கையை உறுதிப்படுத்த ரூட் சான்றிதழ் ஸ்டோரில் ISRG ரூட் X1 சான்றிதழை கைமுறையாகச் சேர்க்கும் ஆதரிக்கப்படாத ஃபார்ம்வேர் மற்றும் இயக்க முறைமைகளில் லெட்ஸ் என்க்ரிப்ட் சான்றிதழ்கள் ஏற்றுக்கொள்ளப்படாது. . சிக்கல்கள் இதில் வெளிப்படும்:
- OpenSSL கிளை 1.0.2 வரை உள்ளடக்கியது (கிளை 1.0.2 இன் பராமரிப்பு டிசம்பர் 2019 இல் நிறுத்தப்பட்டது);
- என்எஸ்எஸ் <3.26;
- ஜாவா 8 < 8u141, ஜாவா 7 < 7u151;
- விண்டோஸ் < XP SP3;
- macOS <10.12.1;
- iOS <10 (iPhone <5);
- ஆண்ட்ராய்டு < 2.3.6;
- Mozilla Firefox <50;
- உபுண்டு <16.04;
- டெபியன் <8.
OpenSSL 1.0.2 விஷயத்தில், கையொப்பமிடுவதற்குப் பயன்படுத்தப்படும் ரூட் சான்றிதழ்களில் ஒன்று காலாவதியானாலும், மற்ற சரியான நம்பிக்கைச் சங்கிலிகள் இருந்தாலும், குறுக்கு-கையொப்பமிடப்பட்ட சான்றிதழ்கள் சரியாகச் செயலாக்கப்படுவதைத் தடுக்கும் பிழையால் சிக்கல் ஏற்படுகிறது. செக்டிகோ (கொமோடோ) சான்றிதழ் ஆணையத்தின் குறுக்கு-கையொப்பம் சான்றிதழில் பயன்படுத்தப்படும் AddTrust சான்றிதழ் வழக்கற்றுப் போன பிறகு, கடந்த ஆண்டு பிரச்சனை முதலில் வெளிப்பட்டது. சிக்கலின் முக்கிய அம்சம் என்னவென்றால், OpenSSL சான்றிதழை நேரியல் சங்கிலியாகப் பாகுபடுத்தியது, அதேசமயம் RFC 4158 இன் படி, ஒரு சான்றிதழானது, கணக்கில் எடுத்துக்கொள்ளப்பட வேண்டிய பல நம்பிக்கை அறிவிப்பாளர்களுடன் இயக்கப்பட்ட விநியோகிக்கப்பட்ட வட்ட வரைபடத்தைக் குறிக்கும்.
OpenSSL 1.0.2 ஐ அடிப்படையாகக் கொண்ட பழைய விநியோகங்களின் பயனர்களுக்கு சிக்கலைத் தீர்க்க மூன்று வேலைகள் வழங்கப்படுகின்றன:
- IdenTrust DST ரூட் CA X3 ரூட் சான்றிதழை கைமுறையாக அகற்றி, தனித்தனியாக (குறுக்கு கையொப்பமிடப்படவில்லை) ISRG ரூட் X1 ரூட் சான்றிதழை நிறுவியது.
- openssl verify மற்றும் s_client கட்டளைகளை இயக்கும் போது, “--trusted_first” விருப்பத்தை நீங்கள் குறிப்பிடலாம்.
- குறுக்கு கையொப்பம் இல்லாத தனி ரூட் சான்றிதழான SRG ரூட் X1 மூலம் சான்றளிக்கப்பட்ட சான்றிதழை சர்வரில் பயன்படுத்தவும். இந்த முறை பழைய ஆண்ட்ராய்டு கிளையண்டுகளுடன் பொருந்தக்கூடிய தன்மையை இழக்க வழிவகுக்கும்.
கூடுதலாக, லெட்ஸ் என்க்ரிப்ட் திட்டம் உருவாக்கப்பட்ட இரண்டு பில்லியன் சான்றிதழ்களின் மைல்கல்லைக் கடந்துவிட்டதை நாம் கவனிக்கலாம். கடந்த ஆண்டு பிப்ரவரியில் ஒரு பில்லியன் மைல்கல்லை எட்டியது. தினசரி 2.2-2.4 மில்லியன் புதிய சான்றிதழ்கள் உருவாக்கப்படுகின்றன. செயலில் உள்ள சான்றிதழ்களின் எண்ணிக்கை 192 மில்லியன் (ஒரு சான்றிதழ் மூன்று மாதங்களுக்கு செல்லுபடியாகும்) மற்றும் சுமார் 260 மில்லியன் டொமைன்களை உள்ளடக்கியது (195 மில்லியன் டொமைன்கள் ஒரு வருடத்திற்கு முன்பு, 150 மில்லியன் இரண்டு ஆண்டுகளுக்கு முன்பு, 60 மில்லியன் மூன்று ஆண்டுகளுக்கு முன்பு). பயர்பாக்ஸ் டெலிமெட்ரி சேவையின் புள்ளிவிவரங்களின்படி, HTTPS வழியாக பக்க கோரிக்கைகளின் உலகளாவிய பங்கு 82% (ஒரு வருடம் முன்பு - 81%, இரண்டு ஆண்டுகளுக்கு முன்பு - 77%, மூன்று ஆண்டுகளுக்கு முன்பு - 69%, நான்கு ஆண்டுகளுக்கு முன்பு - 58%).
ஆதாரம்: opennet.ru