Барои он ки браузер аутентификатсияи вебсайтро тасдиқ кунад, он занҷири дурусти сертификатро пешниҳод мекунад. Занҷираи маъмулӣ дар боло нишон дода шудааст ва метавонад зиёда аз як шаҳодатномаи фосилавӣ бошад. Шумораи ҳадди ақали сертификатҳо дар як занҷири эътибор се аст.
Шаҳодатномаи реша дили мақомоти сертификатсия мебошад. Он аслан дар OS ё браузери шумо сохта шудааст, он аз ҷиҳати ҷисмонӣ дар дастгоҳи шумо мавҷуд аст. Онро аз тарафи сервер тағир додан мумкин нест. Навсозии маҷбурии OS ё нармафзор дар дастгоҳ лозим аст.
Мутахассиси амният Скотт Ҳелме , ки мушкилоти асосӣ бо мақомоти сертификатсияи Let's Encrypt ба миён меоянд, зеро имрӯз он маъмултарин CA дар Интернет аст ва шаҳодатномаи решаи он ба зудӣ бад хоҳад шуд. Тағир додани решаи Let's Encrypt .
Шаҳодатномаҳои ниҳоӣ ва мобайнии мақомоти сертификатсия (CA) аз сервер ба муштарӣ дода мешаванд ва шаҳодатномаи реша аз муштарӣ аллакай доранд, бинобар ин, бо ин маҷмӯаи сертификатҳо метавон як занҷир созад ва вебсайтро тасдиқ кунад.
Мушкилот дар он аст, ки ҳар як сертификат мӯҳлати истифода дорад, ки пас аз он бояд иваз карда шавад. Масалан, аз 1 сентябри соли 2020 онҳо нақша доранд, ки дар браузери Safari мӯҳлати эътибори сертификатҳои сервери TLS-ро ҷорӣ кунанд .
Ин маънои онро дорад, ки ҳамаи мо бояд ҳадди аққал ҳар 12 моҳ сертификатҳои сервери худро иваз кунем. Ин маҳдудият танҳо ба сертификатҳои сервер дахл дорад; он не ба сертификатҳои решаи CA дахл дорад.
Шаҳодатномаҳои CA бо маҷмӯи қоидаҳо танзим карда мешаванд ва аз ин рӯ маҳдудиятҳои эътибори гуногун доранд. Бисёр маъмул аст, ки шаҳодатномаҳои фосилавӣ бо мӯҳлати эътибори 5 сол ва шаҳодатномаҳои решавӣ бо мӯҳлати хидматашон ҳатто 25 сол!
Одатан бо сертификатҳои мобайнӣ ягон мушкилот вуҷуд надорад, зеро онҳо аз ҷониби сервер ба муштарӣ дода мешаванд, ки худи он сертификати худро зуд-зуд иваз мекунад, аз ин рӯ он танҳо дар раванди мобайниро иваз мекунад. Баръакси шаҳодатномаи решаи CA, иваз кардани он бо сертификати сервер хеле осон аст.
Тавре ки мо аллакай гуфта будем, решаи CA бевосита дар худи дастгоҳи муштарӣ, дар OS, браузер ё нармафзори дигар сохта шудааст. Тағир додани решаи CA аз ихтиёри вебсайт нест. Ин навсозии муштариро талаб мекунад, хоҳ он OS ё навсозии нармафзор.
Баъзе CA-ҳои реша муддати хеле дароз вуҷуд доранд, мо дар бораи 20-25 сол гап мезанем. Ба қарибӣ баъзе аз қадимтарин CA-ҳои реша ба охири ҳаёти табиии худ наздик мешаванд, вақти онҳо қариб тамом мешавад. Барои аксари мо ин асло мушкиле нахоҳад буд, зеро CA-ҳо шаҳодатномаҳои решавӣ эҷод кардаанд ва онҳо дар тӯли солҳои зиёд дар OS ва навсозиҳои браузер дар саросари ҷаҳон паҳн шудаанд. Аммо агар касе дар муддати хеле тӯлонӣ OS ё браузери худро нав накарда бошад, ин як навъ мушкилот аст.
Ин вазъ 30 майи соли 2020 дар соати 10:48:38 GMT рух дод. Ин вақти дақиқи он аст аз мақомоти сертификатсияи Comodo (Sectigo).
Он барои имзои байниҳамдигарӣ барои таъмини мутобиқат бо дастгоҳҳои кӯҳна, ки дар мағозаи худ шаҳодатномаи решаи нави USERTrust надоранд, истифода шудааст.
Мутаассифона, мушкилот на танҳо дар браузерҳои кӯҳна, балки дар муштариёни ғайрибраузер дар асоси OpenSSL 1.0.x, LibreSSL ва . Масалан, дар приставкаҳо , хизматрасонй , дар Fortinet, Барномаҳои Chargify, дар платформаи .NET Core 2.0 барои Linux ва .
Тахмин карда мешуд, ки мушкилот танҳо ба системаҳои кӯҳна таъсир мерасонад (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 ва ғайра), зеро браузерҳои муосир метавонанд сертификати решаи дуюми USERTRust-ро истифода баранд. Аммо дар асл, нокомиҳо дар садҳо хидматҳои веб, ки китобхонаҳои ройгони OpenSSL 1.0.x ва GnuTLS-ро истифода мебурданд, оғоз ёфт. Пайвасти бехатарро дигар бо паёми хатогие барқарор кардан мумкин нест, ки шаҳодатнома кӯҳна шудааст.
Оянда - Биёед рамзгузорӣ кунем
Мисоли дигари хуби тағйироти дарпешистодаи решаи CA ин мақомоти сертификатсияи Let's Encrypt мебошад. Бештар онҳо нақша доштанд, ки аз занҷири Identrust ба занҷири худ ISRG Root гузаранд, аммо ин .
"Аз сабаби нигарониҳо дар бораи қабул нашудани решаи ISRG дар дастгоҳҳои Android, мо тасмим гирифтем, ки санаи гузариши решаи аслиро аз 8 июли соли 2019 ба 8 июли соли 2020 гузаронем" гуфт Let's Encrypt дар изҳорот.
Таърихро бо сабаби мушкилоте, ки "паҳн кардани реша" номида мешавад, ё дақиқтараш, набудани паҳншавии реша, вақте ки CA реша дар байни ҳама муштариён хеле васеъ паҳн нашудааст, ба таъхир андохтан лозим омад.
Let's Encrypt дар айни замон шаҳодатномаи мобайнии салиб имзошударо истифода мебарад, ки ба IdenTrust DST Root CA X3 занҷирбанд шудааст. Ин шаҳодатномаи реша моҳи сентябри соли 2000 дода шуда, мӯҳлати эътибораш 30 сентябри соли 2021 ба охир мерасад. То он вақт, Let's Encrypt нақша дорад, ки ба ISRG Root X1 худ имзошуда гузарад.
Решаи ISRG 4 июни соли 2015 бароварда шуд. Пас аз ин, раванди тасдиқи он ҳамчун мақоми сертификатсия оғоз ёфт, ки ба анҷом расид . Аз ин лаҳза, CA-и реша барои ҳама муштариён тавассути системаи амалиётӣ ё навсозии нармафзор дастрас буд. Ба шумо танҳо лозим буд, ки навсозиро насб кунед.
Аммо мушкилот дар он аст.
Агар телефони мобилӣ, телевизор ё дигар дастгоҳи шумо дар тӯли ду сол навсозӣ нашуда бошад, он дар бораи шаҳодатномаи решаи нави ISRG Root X1 аз куҷо медонад? Ва агар шумо онро дар система насб накунед, пас дастгоҳи шумо ҳама сертификатҳои сервери Let's Encrypt-ро бекор мекунад, вақте ки Let's Encrypt ба решаи нав мегузарад. Ва дар экосистемаи Android бисёр дастгоҳҳои кӯҳна мавҷуданд, ки муддати тӯлонӣ нав карда нашудаанд.
Экосистемаи Android
Ин аст, ки чаро Let's Encrypt гузаштан ба решаи ISRG-и худро таъхир дод ва то ҳол миёнараверо истифода мебарад, ки ба решаи IdenTrust поён меравад. Аммо гузариш дар ҳар сурат бояд анҷом дода шавад. Ва санаи тағир додани реша таъин карда мешавад .
Барои санҷидани он, ки решаи ISRG X1 дар дастгоҳи шумо (телевизион, приставка ё муштарии дигар) насб шудааст, сайти санҷиширо кушоед. . Агар ягон огоҳии амниятӣ пайдо нашавад, ҳама чиз одатан хуб аст.
Let's Encrypt ягонаест, ки бо мушкилоти муҳоҷират ба решаи нав рӯбарӯ нест. Криптография дар Интернет ҳамагӣ зиёда аз 20 сол пеш истифода мешуд, бинобар ин ҳоло вақти он расидааст, ки бисёре аз сертификатҳои решавӣ ба охир мерасад.
Соҳибони телевизорҳои интеллектуалӣ, ки тӯли солҳои зиёд нармафзори Smart TV-ро нав накардаанд, метавонанд ба ин мушкилот дучор шаванд. Масалан, решаи нави GlobalSign соли 2012 бароварда шуд ва пас аз он ки баъзе телевизорҳои кӯҳнаи Smart наметавонанд ба он занҷир созанд, зеро онҳо ин решаи CA-ро надоранд. Аз ҷумла, ин муштариён натавонистанд бо вебсайти bbc.co.uk робитаи амн барқарор кунанд. Барои ҳалли мушкилот, маъмурони Би-би-сӣ маҷбур шуданд, ки ба як ҳила кор кунанд: онҳо тавассути сертификатҳои иловагии мобайнӣ, бо истифода аз решаҳои кӯҳна и , ки хануз пусида нашудаанд.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (миёна) GlobalSign решавӣ CA - R5 (миёна) GlobalSign решавӣ CA - R3 (миёна)
Ин як роҳи ҳалли муваққатӣ аст. То он даме, ки шумо нармафзори муштариро навсозӣ кунед, мушкилот ҳал намешавад. Телевизиони интеллектуалӣ аслан як компютери маҳдуди функсионалии Linux мебошад. Ва бе навсозӣ, шаҳодатномаҳои решаи он ногузир пӯсида мешаванд.
Ин ба ҳама дастгоҳҳо дахл дорад, на танҳо телевизорҳо. Агар шумо ягон дастгоҳе дошта бошед, ки ба Интернет пайваст аст ва он ҳамчун дастгоҳи "интеллектуалӣ" эълон шуда буд, пас мушкили сертификатҳои пӯсида қариб ба он дахл дорад. Агар дастгоҳ нав карда нашавад, мағозаи решаи CA бо мурури замон кӯҳна мешавад ва дар ниҳоят мушкилот рӯ ба рӯ мешавад. То чӣ андоза зуд пайдо шудани мушкилот аз он вобаста аст, ки дӯкони реша бори охир навсозӣ шудааст. Ин метавонад якчанд сол пеш аз санаи воқеии барориши дастгоҳ бошад.
Дар омади гап, ин мушкилотест, ки чаро баъзе платформаҳои ВАО аз мақомоти муосири сертификатсия автоматӣ, ба монанди Let's Encrypt истифода бурда наметавонанд, менависад Скотт Ҳелме. Онҳо барои телевизорҳои интеллектуалӣ мувофиқ нестанд ва шумораи решаҳо барои кафолати дастгирии сертификат дар дастгоҳҳои кӯҳна хеле кам аст. Дар акси ҳол, телевизион наметавонад хидматҳои муосири ҷараёнро оғоз кунад.
Ҳодисаи охирин бо AddTrust нишон дод, ки ҳатто ширкатҳои бузурги IT барои ба охир расидани мӯҳлати шаҳодатномаи реша омода нестанд.
Танҳо як роҳи ҳалли мушкилот вуҷуд дорад - навсозӣ. Таҳиягарони дастгоҳҳои интеллектуалӣ бояд механизми навсозии нармафзор ва сертификатҳои решаро пешакӣ таъмин кунанд. Аз тарафи дигар, барои истеҳсолкунандагон фоидаовар нест, ки кори дастгоҳҳои худро пас аз ба итмом расидани мӯҳлати кафолат таъмин кунанд.
Манбаъ: will.com