సెప్టెంబర్ 30న మాస్కో సమయం 17:01కి, IdenTrust రూట్ సర్టిఫికేట్ (DST రూట్ CA X3), ఇది సంఘంచే నియంత్రించబడే లెట్స్ ఎన్క్రిప్ట్ సర్టిఫికేషన్ అథారిటీ (ISRG రూట్ X1) యొక్క రూట్ సర్టిఫికేట్పై క్రాస్-సైన్ చేయడానికి ఉపయోగించబడింది మరియు అందరికీ ఉచితంగా సర్టిఫికెట్లు అందిస్తుంది, గడువు ముగుస్తుంది. లెట్స్ ఎన్క్రిప్ట్ యొక్క స్వంత రూట్ సర్టిఫికేట్ రూట్ సర్టిఫికేట్ స్టోర్లలో విలీనం చేయబడినప్పుడు, క్రాస్-సైనింగ్ ద్వారా లెట్స్ ఎన్క్రిప్ట్ సర్టిఫికేట్లు విస్తృత శ్రేణి పరికరాలు, ఆపరేటింగ్ సిస్టమ్లు మరియు బ్రౌజర్లలో విశ్వసనీయంగా ఉన్నాయని నిర్ధారిస్తుంది.
DST రూట్ CA X3ని తొలగించిన తర్వాత, లెట్స్ ఎన్క్రిప్ట్ ప్రాజెక్ట్ దాని రూట్ సర్టిఫికేట్ను మాత్రమే ఉపయోగించి సంతకాలను రూపొందించడానికి మారుతుందని వాస్తవానికి ప్రణాళిక చేయబడింది, అయితే అలాంటి చర్య పెద్ద సంఖ్యలో పాత సిస్టమ్లతో అనుకూలతను కోల్పోయేలా చేస్తుంది. వారి రిపోజిటరీలకు లెట్స్ ఎన్క్రిప్ట్ రూట్ సర్టిఫికేట్ జోడించండి. ప్రత్యేకించి, వాడుకలో ఉన్న దాదాపు 30% Android పరికరాలకు లెట్స్ ఎన్క్రిప్ట్ రూట్ సర్టిఫికేట్లో డేటా లేదు, దీనికి మద్దతు 7.1.1 చివరిలో విడుదలైన Android 2016 ప్లాట్ఫారమ్తో మాత్రమే కనిపిస్తుంది.
లెట్స్ ఎన్క్రిప్ట్ కొత్త క్రాస్-సిగ్నేచర్ ఒప్పందంలోకి ప్రవేశించడానికి ప్లాన్ చేయలేదు, ఎందుకంటే ఇది ఒప్పందానికి సంబంధించిన పార్టీలపై అదనపు బాధ్యతను విధిస్తుంది, వారికి స్వాతంత్ర్యం లేకుండా చేస్తుంది మరియు మరొక ధృవీకరణ అధికారం యొక్క అన్ని విధానాలు మరియు నియమాలకు అనుగుణంగా వారి చేతులను కట్టివేస్తుంది. కానీ పెద్ద సంఖ్యలో Android పరికరాలలో సంభావ్య సమస్యల కారణంగా, ప్లాన్ సవరించబడింది. IdenTrust సర్టిఫికేషన్ అథారిటీతో ఒక కొత్త ఒప్పందం ముగిసింది, దీని ఫ్రేమ్వర్క్లో ప్రత్యామ్నాయ క్రాస్-సైన్డ్ లెట్స్ ఎన్క్రిప్ట్ ఇంటర్మీడియట్ సర్టిఫికేట్ సృష్టించబడింది. క్రాస్-సిగ్నేచర్ మూడు సంవత్సరాల పాటు చెల్లుబాటు అవుతుంది మరియు వెర్షన్ 2.3.6తో ప్రారంభమయ్యే Android పరికరాలకు మద్దతును నిర్వహిస్తుంది.
అయితే, కొత్త ఇంటర్మీడియట్ సర్టిఫికేట్ అనేక ఇతర లెగసీ సిస్టమ్లను కవర్ చేయదు. ఉదాహరణకు, సెప్టెంబర్ 3న DST రూట్ CA X30 సర్టిఫికేట్ నిలిపివేయబడినప్పుడు, లెట్స్ ఎన్క్రిప్ట్ సర్టిఫికేట్లపై నమ్మకాన్ని నిర్ధారించడానికి రూట్ సర్టిఫికేట్ స్టోర్కు మాన్యువల్గా ISRG రూట్ X1 సర్టిఫికేట్ను జోడించాల్సిన అవసరం ఉన్న మద్దతు లేని ఫర్మ్వేర్ మరియు ఆపరేటింగ్ సిస్టమ్లలో లెట్స్ ఎన్క్రిప్ట్ సర్టిఫికెట్లు ఇకపై ఆమోదించబడవు. . సమస్యలు ఇందులో కనిపిస్తాయి:
- ఓపెన్ఎస్ఎస్ఎల్ బ్రాంచ్ 1.0.2తో సహా (డిసెంబర్ 1.0.2లో బ్రాంచ్ 2019 నిర్వహణ నిలిపివేయబడింది);
- NSS <3.26;
- జావా 8 < 8u141, జావా 7 < 7u151;
- Windows < XP SP3;
- macOS <10.12.1;
- iOS <10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox <50;
- ఉబుంటు <16.04;
- డెబియన్ <8.
OpenSSL 1.0.2 విషయంలో, ఇతర చెల్లుబాటు అయ్యే విశ్వసనీయ గొలుసులు మిగిలి ఉన్నప్పటికీ, సంతకం చేయడానికి ఉపయోగించే రూట్ సర్టిఫికేట్లలో ఒకదాని గడువు ముగిసినట్లయితే, క్రాస్-సైన్డ్ సర్టిఫికేట్లను సరిగ్గా ప్రాసెస్ చేయకుండా నిరోధించే బగ్ కారణంగా సమస్య ఏర్పడింది. సెక్టిగో (కొమోడో) సర్టిఫికేషన్ అథారిటీ నుండి క్రాస్-సైన్ సర్టిఫికేట్లకు ఉపయోగించిన AddTrust సర్టిఫికేట్ వాడుకలో లేని తర్వాత సమస్య మొదట కనిపించింది. సమస్య యొక్క సారాంశం ఏమిటంటే, OpenSSL సర్టిఫికేట్ను లీనియర్ చైన్గా అన్వయించింది, అయితే RFC 4158 ప్రకారం, సర్టిఫికేట్ పరిగణనలోకి తీసుకోవలసిన బహుళ ట్రస్ట్ యాంకర్లతో నిర్దేశించిన పంపిణీ చేయబడిన వృత్తాకార గ్రాఫ్ను సూచిస్తుంది.
OpenSSL 1.0.2 ఆధారంగా పాత పంపిణీల వినియోగదారులకు సమస్యను పరిష్కరించడానికి మూడు ప్రత్యామ్నాయాలు అందించబడతాయి:
- IdenTrust DST రూట్ CA X3 రూట్ సర్టిఫికేట్ను మాన్యువల్గా తీసివేసి, స్టాండ్-ఏలోన్ (క్రాస్-సైన్డ్ కాదు) ISRG రూట్ X1 రూట్ సర్టిఫికేట్ను ఇన్స్టాల్ చేసింది.
- openssl verify మరియు s_client ఆదేశాలను అమలు చేస్తున్నప్పుడు, మీరు “--trusted_first” ఎంపికను పేర్కొనవచ్చు.
- క్రాస్-సిగ్నేచర్ లేని ప్రత్యేక రూట్ సర్టిఫికేట్ SRG రూట్ X1 ద్వారా ధృవీకరించబడిన ప్రమాణపత్రాన్ని సర్వర్లో ఉపయోగించండి. ఈ పద్ధతి పాత Android క్లయింట్లతో అనుకూలతను కోల్పోయేలా చేస్తుంది.
అదనంగా, లెట్స్ ఎన్క్రిప్ట్ ప్రాజెక్ట్ రెండు బిలియన్ల జనరేట్ సర్టిఫికెట్ల మైలురాయిని అధిగమించిందని మేము గమనించవచ్చు. గతేడాది ఫిబ్రవరిలో బిలియన్ మైలురాయిని చేరుకుంది. ప్రతిరోజూ 2.2-2.4 మిలియన్ల కొత్త సర్టిఫికేట్లు ఉత్పత్తి అవుతాయి. సక్రియ సర్టిఫికెట్ల సంఖ్య 192 మిలియన్లు (ఒక సర్టిఫికేట్ మూడు నెలల వరకు చెల్లుబాటు అవుతుంది) మరియు సుమారు 260 మిలియన్ డొమైన్లను కవర్ చేస్తుంది (195 మిలియన్ డొమైన్లు ఒక సంవత్సరం క్రితం కవర్ చేయబడ్డాయి, 150 మిలియన్లు రెండు సంవత్సరాల క్రితం, 60 మిలియన్లు మూడు సంవత్సరాల క్రితం). Firefox Telemetry సర్వీస్ గణాంకాల ప్రకారం, HTTPS ద్వారా పేజీ అభ్యర్థనల ప్రపంచ వాటా 82% (ఒక సంవత్సరం క్రితం - 81%, రెండు సంవత్సరాల క్రితం - 77%, మూడు సంవత్సరాల క్రితం - 69%, నాలుగు సంవత్సరాల క్రితం - 58%).
మూలం: opennet.ru