వెబ్సైట్ను ప్రామాణీకరించడానికి బ్రౌజర్ కోసం, అది చెల్లుబాటు అయ్యే సర్టిఫికేట్ చైన్తో ప్రదర్శించబడుతుంది. ఒక సాధారణ చైన్ పైన చూపబడింది మరియు ఒకటి కంటే ఎక్కువ ఇంటర్మీడియట్ సర్టిఫికేట్ ఉండవచ్చు. చెల్లుబాటు అయ్యే గొలుసులోని సర్టిఫికెట్ల కనీస సంఖ్య మూడు.
రూట్ సర్టిఫికేట్ అనేది సర్టిఫికేట్ అధికారం యొక్క గుండె. ఇది అక్షరాలా మీ OS లేదా బ్రౌజర్లో నిర్మించబడింది, ఇది మీ పరికరంలో భౌతికంగా ఉంది. ఇది సర్వర్ వైపు నుండి మార్చబడదు. పరికరంలో OS లేదా ఫర్మ్వేర్ను బలవంతంగా నవీకరించడం అవసరం.
సెక్యూరిటీ స్పెషలిస్ట్ స్కాట్ హెల్మే , లెట్స్ ఎన్క్రిప్ట్ సర్టిఫికేషన్ అథారిటీతో ప్రధాన సమస్యలు తలెత్తుతాయి, ఎందుకంటే ఈ రోజు ఇది ఇంటర్నెట్లో అత్యంత ప్రజాదరణ పొందిన CA మరియు దాని రూట్ సర్టిఫికేట్ త్వరలో చెడిపోతుంది. లెట్స్ ఎన్క్రిప్ట్ రూట్ని మార్చడం .
సర్టిఫికేషన్ అథారిటీ (CA) యొక్క ముగింపు మరియు ఇంటర్మీడియట్ సర్టిఫికేట్లు సర్వర్ నుండి క్లయింట్కు పంపిణీ చేయబడతాయి మరియు రూట్ సర్టిఫికేట్ క్లయింట్ నుండి ఇప్పటికే ఉంది, కాబట్టి ఈ సర్టిఫికేట్ల సేకరణతో ఒకరు గొలుసును నిర్మించవచ్చు మరియు వెబ్సైట్ను ప్రామాణీకరించవచ్చు.
సమస్య ఏమిటంటే ప్రతి సర్టిఫికేట్ గడువు తేదీని కలిగి ఉంటుంది, దాని తర్వాత దాన్ని భర్తీ చేయాలి. ఉదాహరణకు, సెప్టెంబర్ 1, 2020 నుండి, వారు Safari బ్రౌజర్లో సర్వర్ TLS ప్రమాణపత్రాల చెల్లుబాటు వ్యవధిపై పరిమితిని ప్రవేశపెట్టాలని ప్లాన్ చేస్తున్నారు .
అంటే మనమందరం కనీసం ప్రతి 12 నెలలకోసారి మా సర్వర్ సర్టిఫికేట్లను భర్తీ చేయాల్సి ఉంటుంది. ఈ పరిమితి సర్వర్ సర్టిఫికేట్లకు మాత్రమే వర్తిస్తుంది; ఇది కాదు రూట్ CA సర్టిఫికేట్లకు వర్తిస్తుంది.
CA సర్టిఫికేట్లు వేర్వేరు నియమాల ద్వారా నిర్వహించబడతాయి మరియు అందువల్ల వేర్వేరు చెల్లుబాటు పరిమితులను కలిగి ఉంటాయి. 5 సంవత్సరాల చెల్లుబాటు వ్యవధితో ఇంటర్మీడియట్ సర్టిఫికేట్లు మరియు 25 సంవత్సరాల సేవా జీవితంతో రూట్ సర్టిఫికేట్లను కనుగొనడం చాలా సాధారణం!
ఇంటర్మీడియట్ సర్టిఫికేట్లతో సాధారణంగా ఎటువంటి సమస్యలు ఉండవు, ఎందుకంటే అవి సర్వర్ ద్వారా క్లయింట్కు సరఫరా చేయబడతాయి, ఇది దాని స్వంత సర్టిఫికేట్ను చాలా తరచుగా మారుస్తుంది, కాబట్టి ఇది ప్రక్రియలో ఇంటర్మీడియట్ను భర్తీ చేస్తుంది. రూట్ CA ప్రమాణపత్రం వలె కాకుండా సర్వర్ సర్టిఫికేట్తో పాటు దాన్ని భర్తీ చేయడం చాలా సులభం.
మేము ఇప్పటికే చెప్పినట్లుగా, రూట్ CA నేరుగా క్లయింట్ పరికరంలో, OS, బ్రౌజర్ లేదా ఇతర సాఫ్ట్వేర్లోకి నిర్మించబడింది. రూట్ CA మార్చడం వెబ్సైట్ నియంత్రణకు మించినది. దీనికి క్లయింట్లో నవీకరణ అవసరం, అది OS లేదా సాఫ్ట్వేర్ నవీకరణ.
కొన్ని రూట్ CA లు చాలా కాలం నుండి ఉన్నాయి, మేము 20-25 సంవత్సరాల గురించి మాట్లాడుతున్నాము. త్వరలో కొన్ని పురాతన రూట్ CAలు వారి సహజ జీవితం ముగింపుకు చేరుకుంటాయి, వారి సమయం దాదాపు ముగిసింది. CAలు కొత్త రూట్ సర్టిఫికేట్లను సృష్టించినందున మనలో చాలా మందికి ఇది సమస్య కాదు మరియు అవి చాలా సంవత్సరాలుగా OS మరియు బ్రౌజర్ అప్డేట్లలో ప్రపంచవ్యాప్తంగా పంపిణీ చేయబడ్డాయి. అయితే ఎవరైనా చాలా కాలంగా తమ OS లేదా బ్రౌజర్ని అప్డేట్ చేయకుంటే, అది ఒక రకమైన సమస్య.
ఈ పరిస్థితి మే 30, 2020న 10:48:38 GMTకి సంభవించింది. ఇది ఖచ్చితమైన సమయం కొమోడో సర్టిఫికేషన్ అథారిటీ (సెక్టిగో) నుండి
తమ స్టోర్లో కొత్త USERTrust రూట్ ప్రమాణపత్రం లేని లెగసీ పరికరాలతో అనుకూలతను నిర్ధారించడానికి క్రాస్-సైనింగ్ కోసం ఇది ఉపయోగించబడింది.
దురదృష్టవశాత్తూ, లెగసీ బ్రౌజర్లలో మాత్రమే కాకుండా, OpenSSL 1.0.x, LibreSSL మరియు ఆధారంగా బ్రౌజర్ కాని క్లయింట్లలో కూడా సమస్యలు తలెత్తాయి. . ఉదాహరణకు, సెట్-టాప్ బాక్స్లలో , సేవ , Fortinetలో, Linux కోసం .NET కోర్ 2.0 ప్లాట్ఫారమ్లో చార్జిఫై అప్లికేషన్లు మరియు .
ఆధునిక బ్రౌజర్లు రెండవ USERTRust రూట్ సర్టిఫికేట్ను ఉపయోగించగలవు కాబట్టి, సమస్య లెగసీ సిస్టమ్లను (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, మొదలైనవి) మాత్రమే ప్రభావితం చేస్తుందని భావించబడింది. కానీ వాస్తవానికి, ఉచిత OpenSSL 1.0.x మరియు GnuTLS లైబ్రరీలను ఉపయోగించిన వందలాది వెబ్ సేవలలో వైఫల్యాలు ప్రారంభమయ్యాయి. సర్టిఫికేట్ గడువు ముగిసింది అని సూచించే దోష సందేశంతో సురక్షిత కనెక్షన్ ఇకపై ఏర్పాటు చేయబడదు.
తదుపరి - ఎన్క్రిప్ట్ చేద్దాం
రాబోయే రూట్ CA మార్పుకు మరో మంచి ఉదాహరణ లెట్స్ ఎన్క్రిప్ట్ సర్టిఫికేట్ అథారిటీ. మరింత వారు Identrust గొలుసు నుండి వారి స్వంత ISRG రూట్ చెయిన్కు మారాలని అనుకున్నారు, కానీ ఇది .
"Android పరికరాలలో ISRG రూట్ను స్వీకరించకపోవడంపై ఉన్న ఆందోళనల కారణంగా, మేము స్థానిక రూట్ పరివర్తన తేదీని జూలై 8, 2019 నుండి జూలై 8, 2020కి తరలించాలని నిర్ణయించుకున్నాము" అని లెట్స్ ఎన్క్రిప్ట్ ఒక ప్రకటనలో తెలిపింది.
"రూట్ ప్రచారం" అనే సమస్య కారణంగా లేదా మరింత ఖచ్చితంగా, రూట్ CA అన్ని క్లయింట్లలో విస్తృతంగా పంపిణీ చేయబడనప్పుడు రూట్ ప్రచారం లేకపోవడం వల్ల తేదీని వాయిదా వేయవలసి వచ్చింది.
లెట్స్ ఎన్క్రిప్ట్ ప్రస్తుతం IdenTrust DST రూట్ CA X3కి చైన్ చేయబడిన క్రాస్-సైన్డ్ ఇంటర్మీడియట్ సర్టిఫికేట్ను ఉపయోగిస్తుంది. ఈ రూట్ సర్టిఫికేట్ సెప్టెంబర్ 2000లో తిరిగి జారీ చేయబడింది మరియు సెప్టెంబర్ 30, 2021న గడువు ముగుస్తుంది. అప్పటి వరకు, లెట్స్ ఎన్క్రిప్ట్ సొంతంగా సంతకం చేసిన ISRG రూట్ X1కి మైగ్రేట్ చేయాలని ప్లాన్ చేస్తోంది.
ISRG రూట్ జూన్ 4, 2015న విడుదలైంది. దీని తరువాత, ధృవీకరణ అధికారంగా దాని ఆమోదం ప్రక్రియ ప్రారంభమైంది, ఇది ముగిసింది . ఈ పాయింట్ నుండి, రూట్ CA అన్ని క్లయింట్లకు ఆపరేటింగ్ సిస్టమ్ లేదా సాఫ్ట్వేర్ నవీకరణ ద్వారా అందుబాటులో ఉంది. మీరు చేయాల్సిందల్లా నవీకరణను ఇన్స్టాల్ చేయడం.
కానీ అది సమస్య.
మీ మొబైల్ ఫోన్, టీవీ లేదా ఇతర పరికరం రెండు సంవత్సరాలుగా అప్డేట్ చేయబడకపోతే, కొత్త ISRG రూట్ X1 రూట్ సర్టిఫికేట్ గురించి దానికి ఎలా తెలుస్తుంది? మరియు మీరు దీన్ని సిస్టమ్లో ఇన్స్టాల్ చేయకుంటే, లెట్స్ ఎన్క్రిప్ట్ కొత్త రూట్కి మారిన వెంటనే మీ పరికరం అన్ని లెట్స్ ఎన్క్రిప్ట్ సర్వర్ సర్టిఫికెట్లను చెల్లుబాటు కాకుండా చేస్తుంది. మరియు ఆండ్రాయిడ్ ఎకోసిస్టమ్లో చాలా కాలంగా అప్డేట్ చేయని చాలా పాత పరికరాలు ఉన్నాయి.
Android పర్యావరణ వ్యవస్థ
అందుకే లెట్స్ ఎన్క్రిప్ట్ దాని స్వంత ISRG రూట్కి వెళ్లడం ఆలస్యమైంది మరియు ఇప్పటికీ IdenTrust రూట్కి వెళ్లే ఇంటర్మీడియట్ను ఉపయోగిస్తుంది. కానీ పరివర్తన ఏ సందర్భంలోనైనా చేయవలసి ఉంటుంది. మరియు రూట్ మార్పు తేదీ కేటాయించబడింది .
ISRG X1 రూట్ మీ పరికరంలో (TV, సెట్-టాప్ బాక్స్ లేదా ఇతర క్లయింట్) ఇన్స్టాల్ చేయబడిందో లేదో తనిఖీ చేయడానికి, పరీక్ష సైట్ని తెరవండి . భద్రతా హెచ్చరిక కనిపించకపోతే, సాధారణంగా ప్రతిదీ బాగానే ఉంటుంది.
లెట్స్ ఎన్క్రిప్ట్ ఒక్కటే కొత్త రూట్కి వలస వెళ్లే సవాలును ఎదుర్కొంటున్నది కాదు. ఇంటర్నెట్లో క్రిప్టోగ్రఫీని కేవలం 20 సంవత్సరాల క్రితం ఉపయోగించడం ప్రారంభించారు, కాబట్టి ఇప్పుడు అనేక రూట్ సర్టిఫికెట్ల గడువు ముగియబోతున్న సమయం.
చాలా సంవత్సరాలుగా స్మార్ట్ టీవీ సాఫ్ట్వేర్ను అప్డేట్ చేయని స్మార్ట్ టీవీల యజమానులు ఈ సమస్యను ఎదుర్కోవచ్చు. ఉదాహరణకు, కొత్త GlobalSign రూట్ 2012లో విడుదలైంది మరియు కొన్ని పాత స్మార్ట్ టీవీల తర్వాత వాటికి గొలుసును నిర్మించలేము, ఎందుకంటే వాటికి ఈ రూట్ CA లేదు. ప్రత్యేకించి, ఈ క్లయింట్లు bbc.co.uk వెబ్సైట్కి సురక్షిత కనెక్షన్ని ఏర్పాటు చేయలేకపోయారు. సమస్యను పరిష్కరించడానికి, BBC నిర్వాహకులు ఒక ఉపాయాన్ని ఆశ్రయించాల్సి వచ్చింది: వారు పాత మూలాలను ఉపయోగించి అదనపు ఇంటర్మీడియట్ సర్టిఫికెట్ల ద్వారా и , ఇది ఇంకా కుళ్ళిపోలేదు.
www.bbc.co.uk (లీఫ్) గ్లోబల్ సైన్ ECC OV SSL CA 2018 (ఇంటర్మీడియట్) గ్లోబల్ సైన్ రూట్ CA - R5 (ఇంటర్మీడియట్) గ్లోబల్ సైన్ రూట్ CA - R3 (ఇంటర్మీడియట్)
ఇది తాత్కాలిక పరిష్కారం. మీరు క్లయింట్ సాఫ్ట్వేర్ను అప్డేట్ చేస్తే తప్ప సమస్య తొలగిపోదు. స్మార్ట్ టీవీ అనేది తప్పనిసరిగా Linuxతో నడుస్తున్న పరిమిత-ఫంక్షనాలిటీ కంప్యూటర్. మరియు నవీకరణలు లేకుండా, దాని మూల ధృవపత్రాలు అనివార్యంగా కుళ్ళిపోతాయి.
ఇది టీవీలకు మాత్రమే కాకుండా అన్ని పరికరాలకు వర్తిస్తుంది. మీరు ఇంటర్నెట్కు కనెక్ట్ చేయబడిన ఏదైనా పరికరాన్ని కలిగి ఉంటే మరియు అది "స్మార్ట్" పరికరంగా ప్రచారం చేయబడితే, కుళ్ళిన సర్టిఫికేట్ల సమస్య దాదాపుగా దానికి సంబంధించినది. పరికరాన్ని అప్డేట్ చేయకపోతే, రూట్ CA స్టోర్ కాలక్రమేణా పాతది అవుతుంది మరియు చివరికి సమస్య కనిపిస్తుంది. రూట్ స్టోర్ చివరిగా నవీకరించబడినప్పుడు సమస్య ఎంత త్వరగా సంభవిస్తుంది అనే దానిపై ఆధారపడి ఉంటుంది. ఇది పరికరం యొక్క వాస్తవ విడుదల తేదీకి చాలా సంవత్సరాల ముందు ఉండవచ్చు.
మార్గం ద్వారా, కొన్ని పెద్ద మీడియా ప్లాట్ఫారమ్లు లెట్స్ ఎన్క్రిప్ట్ వంటి ఆధునిక ఆటోమేటెడ్ సర్టిఫికేట్ అథారిటీలను ఎందుకు ఉపయోగించలేవు అని స్కాట్ హెల్మ్ రాశారు. అవి స్మార్ట్ టీవీలకు తగినవి కావు మరియు లెగసీ పరికరాలలో సర్టిఫికేట్ మద్దతుకు హామీ ఇవ్వడానికి రూట్ల సంఖ్య చాలా తక్కువగా ఉంది. లేకపోతే, టీవీ ఆధునిక స్ట్రీమింగ్ సేవలను ప్రారంభించదు.
రూట్ సర్టిఫికేట్ గడువు ముగియడానికి పెద్ద ఐటీ కంపెనీలు కూడా సిద్ధంగా లేవని AddTrustతో జరిగిన తాజా సంఘటన చూపించింది.
సమస్యకు ఒకే ఒక పరిష్కారం ఉంది - నవీకరణ. స్మార్ట్ పరికరాల డెవలపర్లు తప్పనిసరిగా సాఫ్ట్వేర్ మరియు రూట్ సర్టిఫికెట్లను అప్డేట్ చేయడానికి ఒక మెకానిజంను తప్పనిసరిగా అందించాలి. మరోవైపు, వారంటీ వ్యవధి ముగిసిన తర్వాత తయారీదారులు తమ పరికరాల ఆపరేషన్ను నిర్ధారించడం లాభదాయకం కాదు.
మూలం: www.habr.com