Рӯзи 30 сентябр соати 17:01 ба вақти Маскав, шаҳодатномаи решаи IdenTrust (DST Root CA X3), ки барои имзои сертификати решаи мақомоти сертификатсияи Let's Encrypt (ISRG Root X1), ки аз ҷониби ҷомеа ва ба хама бепул справка медихад, мухлаташ ба охир мерасад. Имзои байниҳамдигарӣ кафолат дод, ки шаҳодатномаҳои Let's Encrypt дар доираи васеи дастгоҳҳо, системаҳои амалиётӣ ва браузерҳо эътимод дошта бошанд, дар ҳоле ки сертификати решаи Let's Encrypt ба мағозаҳои сертификати решавӣ муттаҳид карда шудааст.
Дар ибтидо ба нақша гирифта шуда буд, ки пас аз бекор шудани DST Root CA X3, лоиҳаи Let's Encrypt ба тавлиди имзоҳо бо истифода аз шаҳодатномаи решаи худ мегузарад, аммо чунин ҳаракат боиси аз даст додани мутобиқат бо шумораи зиёди системаҳои кӯҳна мегардад, ки ба анбори онҳо шаҳодатномаи решаи Бигзор рамзро илова кунед. Аз ҷумла, тақрибан 30% дастгоҳҳои Android истифодашаванда дар бораи сертификати решаи Let's Encrypt маълумот надоранд, ки дастгирии он танҳо аз платформаи Android 7.1.1, ки дар охири соли 2016 бароварда шуда буд, пайдо шуд.
Let's Encrypt нақшаи бастани созишномаи байниимзои навро ба нақша нагирифтааст, зеро ин ба зиммаи тарафҳои шартнома масъулияти иловагӣ мегузорад, онҳоро аз истиқлолият маҳрум мекунад ва дасти онҳоро дар робита ба риояи ҳама расму қоидаҳо аз мақомоти дигари сертификатсия мебандад. Аммо аз сабаби мушкилоти эҳтимолӣ дар шумораи зиёди дастгоҳҳои Android, нақша аз нав дида баромада шуд. Бо мақомоти сертификатсияи IdenTrust шартномаи нав баста шуд, ки дар доираи он сертификати байниҳамдигарии алтернативии Let's Encrypt таъсис дода шуд. Имзои кросс-имзо барои се сол эътибор дорад ва дастгирии дастгоҳҳои Android аз версияи 2.3.6 сар мешавад.
Аммо, шаҳодатномаи мобайнии нав бисёр системаҳои дигари меросиро дар бар намегирад. Масалан, вақте ки шаҳодатномаи DST Root CA X3 30 сентябр бекор мешавад, сертификатҳои Let's Encrypt дигар дар нармафзори нармафзор ва системаҳои оператсионии дастгирӣнашаванда қабул карда намешаванд, ки барои таъмини эътимод ба сертификатҳои Let's Encrypt сертификати ISRG Root X1-ро ба мағозаи шаҳодатномаи реша илова кардани дастӣ талаб мекунанд. . Мушкилот дар инҳо зуҳур хоҳанд кард:
- OpenSSL то филиали 1.0.2 фарогир (нигоҳдории филиали 1.0.2 дар моҳи декабри соли 2019 қатъ карда шуд);
- NSS <3.26;
- Java 8 <8u141, Java 7 <7u151;
- Windows < XP SP3;
- macOS <10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu <16.04;
- Debian <8.
Дар мавриди OpenSSL 1.0.2, мушкилот бо иштибоҳе ба миён меояд, ки дар сурати ба охир расидани мӯҳлати яке аз сертификатҳои решавӣ, ки барои имзо истифода мешавад, ҳатто агар дигар занҷирҳои боэътимоди эътимод боқӣ монад, коркарди дурусти сертификатҳои байниимзошударо пешгирӣ мекунад. Мушкилот бори аввал соли гузашта пас аз кӯҳна шудани сертификати AddTrust, ки барои имзои сертификатҳои мақомоти сертификатсияи Sectigo (Comodo) истифода мешуд, ба миён омад. Моҳияти мушкилот дар он аст, ки OpenSSL сертификатро ҳамчун занҷири хатӣ таҳлил кардааст, дар ҳоле ки тибқи RFC 4158, сертификат метавонад графи даврашакл тақсимшуда бо лангарҳои сершумори эътимодро, ки бояд ба инобат гирифта шаванд, нишон диҳад.
Ба корбарони дистрибюторҳои кӯҳна дар асоси OpenSSL 1.0.2 барои ҳалли мушкилот се роҳи ҳалли мушкилот пешниҳод карда мешаванд:
- Шаҳодатномаи решаи IdenTrust DST Root CA X3-ро ба таври дастӣ хориҷ кард ва шаҳодатномаи решаи ISRG Root X1-ро насб кард.
- Ҳангоми иҷро кардани фармонҳои openssl verify ва s_client, шумо метавонед имконоти "--trusted_first" -ро муайян кунед.
- Дар сервер сертификатеро истифода баред, ки бо шаҳодатномаи решаи алоҳидаи SRG Root X1 тасдиқ шудааст, ки имзои салибӣ надорад. Ин усул боиси аз даст додани мутобиқат бо муштариёни кӯҳнаи Android мегардад.
Илова бар ин, мо метавонем қайд кунем, ки лоиҳаи Let's Encrypt марҳилаи ду миллиард сертификати тавлидшударо паси сар кардааст. Дар моҳи феврали соли гузашта ба як миллиард марҳала расида буд. Ҳар рӯз 2.2-2.4 миллион сертификати нав тавлид мешавад. Шумораи сертификатҳои фаъол 192 миллион аст (шаҳодатнома барои се моҳ эътибор дорад) ва тақрибан 260 миллион доменро фаро мегирад (195 миллион домен як сол пеш, 150 миллион ду сол пеш, 60 миллион се сол пеш фаро гирифта шуда буд). Тибқи омори хидмати Firefox Telemetry, ҳиссаи ҷаҳонии дархостҳои саҳифа тавассути HTTPS 82% (як сол пеш - 81%, ду сол пеш - 77%, се сол пеш - 69%, чор сол пеш - 58%) аст.
Манбаъ: opennet.ru