สำหรับเบราว์เซอร์ในการตรวจสอบความถูกต้องของเว็บไซต์ เบราว์เซอร์จะแสดงห่วงโซ่ใบรับรองที่ถูกต้อง สายโซ่ทั่วไปแสดงไว้ด้านบน และอาจมีใบรับรองระดับกลางมากกว่าหนึ่งใบ จำนวนใบรับรองขั้นต่ำในห่วงโซ่ที่ถูกต้องคือสามใบ
ใบรับรองหลักคือหัวใจสำคัญของผู้ออกใบรับรอง มันมีอยู่ในระบบปฏิบัติการหรือเบราว์เซอร์ของคุณอย่างแท้จริง และมีอยู่ในอุปกรณ์ของคุณ ไม่สามารถเปลี่ยนแปลงได้จากฝั่งเซิร์ฟเวอร์ จำเป็นต้องมีการอัปเดตระบบปฏิบัติการหรือเฟิร์มแวร์บนอุปกรณ์แบบบังคับ
ผู้เชี่ยวชาญด้านความปลอดภัย สก็อตต์ เฮล์ม
ใบรับรองขั้นสุดท้ายและใบรับรองกลางของผู้ออกใบรับรอง (CA) จะถูกส่งไปยังไคลเอนต์จากเซิร์ฟเวอร์ และใบรับรองหลักนั้นมาจากไคลเอนต์ มีอยู่แล้วดังนั้นด้วยชุดใบรับรองนี้ เราจึงสามารถสร้างห่วงโซ่และตรวจสอบเว็บไซต์ได้
ปัญหาคือใบรับรองแต่ละใบมีวันหมดอายุ หลังจากนั้นจึงต้องเปลี่ยนใบรับรองใหม่ ตัวอย่างเช่น ตั้งแต่วันที่ 1 กันยายน 2020 พวกเขาวางแผนที่จะแนะนำข้อจำกัดเกี่ยวกับระยะเวลาที่มีผลบังคับใช้ของใบรับรอง TLS ของเซิร์ฟเวอร์ในเบราว์เซอร์ Safari
ซึ่งหมายความว่าเราทุกคนจะต้องเปลี่ยนใบรับรองเซิร์ฟเวอร์ของเราอย่างน้อยทุกๆ 12 เดือน ข้อจำกัดนี้ใช้กับใบรับรองเซิร์ฟเวอร์เท่านั้น มัน ไม่ ใช้กับใบรับรองรูท CA
ใบรับรอง CA อยู่ภายใต้กฎชุดที่แตกต่างกัน ดังนั้นจึงมีขีดจำกัดความถูกต้องที่แตกต่างกัน เป็นเรื่องปกติมากที่จะค้นหาใบรับรองระดับกลางที่มีระยะเวลา 5 ปีและใบรับรองหลักที่มีอายุการใช้งาน 25 ปี!
โดยปกติจะไม่มีปัญหากับใบรับรองระดับกลางเนื่องจากเซิร์ฟเวอร์จะมอบใบรับรองให้กับไคลเอนต์ซึ่งตัวมันเองจะเปลี่ยนใบรับรองของตัวเองบ่อยกว่ามากดังนั้นจึงเพียงแค่แทนที่ใบรับรองระดับกลางในกระบวนการ มันค่อนข้างง่ายที่จะแทนที่พร้อมกับใบรับรองเซิร์ฟเวอร์ ซึ่งแตกต่างจากใบรับรอง CA รูท
ดังที่เราได้กล่าวไปแล้ว CA รูทนั้นถูกสร้างขึ้นโดยตรงในอุปกรณ์ไคลเอนต์โดยตรง ในระบบปฏิบัติการ เบราว์เซอร์ หรือซอฟต์แวร์อื่น ๆ การเปลี่ยน root CA อยู่นอกเหนือการควบคุมของเว็บไซต์ สิ่งนี้จำเป็นต้องมีการอัปเดตบนไคลเอนต์ ไม่ว่าจะเป็นระบบปฏิบัติการหรือการอัปเดตซอฟต์แวร์
Root CA บางตัวมีมานานแล้ว เรากำลังพูดถึงประมาณ 20-25 ปี ในไม่ช้า Root CA ที่เก่าแก่ที่สุดบางส่วนจะใกล้ถึงจุดสิ้นสุดของชีวิตตามธรรมชาติ เวลาของพวกมันก็เกือบจะหมดลงแล้ว สำหรับพวกเราส่วนใหญ่ สิ่งนี้จะไม่เป็นปัญหาเลย เนื่องจาก CA ได้สร้างใบรับรองหลักใหม่และมีการเผยแพร่ไปทั่วโลกในระบบปฏิบัติการและการอัปเดตเบราว์เซอร์เป็นเวลาหลายปี แต่ถ้าใครไม่ได้อัปเดตระบบปฏิบัติการหรือเบราว์เซอร์ของตนเป็นเวลานานๆ ก็ถือว่าเป็นปัญหาอย่างหนึ่ง
สถานการณ์นี้เกิดขึ้นในวันที่ 30 พฤษภาคม 2020 เวลา 10:48:38 GMT. นี่คือเวลาที่แน่ชัด
ใช้สำหรับการลงนามข้ามสายเพื่อให้แน่ใจว่าสามารถใช้งานร่วมกับอุปกรณ์รุ่นเก่าที่ไม่มีใบรับรองหลัก USERTrust ใหม่ในร้านค้าของตน
น่าเสียดายที่ปัญหาเกิดขึ้นไม่เพียงแต่ในเบราว์เซอร์รุ่นเก่าเท่านั้น แต่ยังเกิดในไคลเอนต์ที่ไม่ใช่เบราว์เซอร์ที่ใช้ OpenSSL 1.0.x, LibreSSL และ
สันนิษฐานว่าปัญหาจะส่งผลต่อระบบเดิมเท่านั้น (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 เป็นต้น) เนื่องจากเบราว์เซอร์สมัยใหม่สามารถใช้ใบรับรองหลัก USERTRust ใบที่สองได้ แต่ในความเป็นจริงแล้ว ความล้มเหลวเริ่มต้นขึ้นในบริการเว็บหลายร้อยรายการที่ใช้ไลบรารี OpenSSL 1.0.x และ GnuTLS ฟรี ไม่สามารถสร้างการเชื่อมต่อที่ปลอดภัยได้อีกต่อไปโดยมีข้อความแสดงข้อผิดพลาดระบุว่าใบรับรองล้าสมัย
ถัดไป - มาเข้ารหัสกัน
อีกตัวอย่างที่ดีของการเปลี่ยนแปลง root CA ที่กำลังจะเกิดขึ้นคือ Let's Encrypt ผู้ออกใบรับรอง มากกว่า
"เนื่องจากความกังวลเกี่ยวกับการไม่มีการนำ ISRG root มาใช้บนอุปกรณ์ Android เราได้ตัดสินใจย้ายวันเปลี่ยนรากดั้งเดิมจากวันที่ 8 กรกฎาคม 2019 เป็นวันที่ 8 กรกฎาคม 2020" Let's Encrypt กล่าวในแถลงการณ์
ต้องเลื่อนวันที่ออกไปเนื่องจากปัญหาที่เรียกว่า "การขยายพันธุ์ของราก" หรือที่เจาะจงกว่านั้นคือการขาดการขยายพันธุ์ของราก เมื่อ CA รากไม่กระจายอย่างกว้างขวางในไคลเอนต์ทั้งหมด
ขณะนี้ Let's Encrypt ใช้ใบรับรองระดับกลางที่มีการลงนามแบบ cross-signed ซึ่งเชื่อมโยงกับ IdenTrust DST Root CA X3 ใบรับรองหลักนี้ออกให้ในเดือนกันยายน 2000 และหมดอายุในวันที่ 30 กันยายน 2021 ก่อนหน้านั้น Let's Encrypt มีแผนที่จะย้ายไปยัง ISRG Root X1 ที่ลงนามด้วยตนเอง
ISRG root เปิดตัวเมื่อวันที่ 4 มิถุนายน 2015 หลังจากนั้น กระบวนการอนุมัติในฐานะหน่วยงานออกใบรับรองก็เริ่มต้นขึ้น ซึ่งสิ้นสุดลง
แต่นั่นคือปัญหา
หากโทรศัพท์มือถือ ทีวี หรืออุปกรณ์อื่นๆ ของคุณไม่ได้รับการอัพเดตเป็นเวลาสองปี จะทราบได้อย่างไรเกี่ยวกับใบรับรองหลัก ISRG Root X1 ใหม่ และหากคุณไม่ได้ติดตั้งบนระบบ อุปกรณ์ของคุณจะทำให้ใบรับรองเซิร์ฟเวอร์ Let's Encrypt ทั้งหมดเป็นโมฆะทันทีที่ Let's Encrypt สลับไปที่รูทใหม่ และในระบบนิเวศของ Android ยังมีอุปกรณ์ที่ล้าสมัยจำนวนมากที่ไม่ได้รับการอัปเดตมาเป็นเวลานาน
ระบบนิเวศของ Android
นี่คือสาเหตุที่ Let's Encrypt ชะลอการย้ายไปยังรูท ISRG ของตัวเอง และยังคงใช้ตัวกลางที่ลงไปที่รูท IdenTrust แต่จะต้องมีการเปลี่ยนแปลงไม่ว่าในกรณีใด และกำหนดวันที่ของการเปลี่ยนแปลงรูท
หากต้องการตรวจสอบว่ามีการติดตั้งรูท ISRG X1 บนอุปกรณ์ของคุณ (ทีวี กล่องรับสัญญาณ หรือไคลเอนต์อื่น ๆ) ให้เปิดไซต์ทดสอบ
Let's Encrypt ไม่ใช่คนเดียวที่เผชิญกับความท้าทายในการย้ายไปยังรูทใหม่ การเข้ารหัสบนอินเทอร์เน็ตเริ่มมีการใช้งานเมื่อ 20 กว่าปีที่แล้ว ดังนั้นตอนนี้เป็นเวลาที่ใบรับรองหลักหลายใบกำลังจะหมดอายุ
เจ้าของสมาร์ททีวีที่ไม่ได้อัปเดตซอฟต์แวร์ Smart TV มาหลายปีอาจประสบปัญหานี้ ตัวอย่างเช่น รูท GlobalSign ใหม่
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (ระดับกลาง) GlobalSign Root CA - R5 (ระดับกลาง) GlobalSign Root CA - R3 (ระดับกลาง)
นี่เป็นวิธีแก้ปัญหาชั่วคราว ปัญหาจะไม่หายไปเว้นแต่คุณจะอัพเดตซอฟต์แวร์ไคลเอ็นต์ สมาร์ททีวีถือเป็นคอมพิวเตอร์ที่มีฟังก์ชันการทำงานจำกัดซึ่งใช้ Linux เป็นหลัก และหากไม่มีการอัปเดต ใบรับรองหลักก็จะเน่าเสียอย่างหลีกเลี่ยงไม่ได้
สิ่งนี้ใช้ได้กับอุปกรณ์ทั้งหมด ไม่ใช่แค่ทีวี หากคุณมีอุปกรณ์ใด ๆ ที่เชื่อมต่อกับอินเทอร์เน็ตและโฆษณาว่าเป็นอุปกรณ์ "อัจฉริยะ" ปัญหาเกี่ยวกับใบรับรองที่เน่าเสียก็เกือบจะเกี่ยวข้องกับเรื่องนี้อย่างแน่นอน หากอุปกรณ์ไม่ได้รับการอัพเดต ที่เก็บ CA หลักจะล้าสมัยเมื่อเวลาผ่านไป และในที่สุดปัญหาก็จะปรากฏขึ้น ปัญหาจะเกิดขึ้นเร็วแค่ไหนขึ้นอยู่กับว่าที่จัดเก็บรูทได้รับการอัปเดตครั้งล่าสุดเมื่อใด อาจใช้เวลาหลายปีก่อนวันวางจำหน่ายจริงของอุปกรณ์
อย่างไรก็ตาม นี่เป็นปัญหาว่าทำไมแพลตฟอร์มสื่อขนาดใหญ่บางแห่งไม่สามารถใช้ผู้ออกใบรับรองอัตโนมัติสมัยใหม่เช่น Let's Encrypt ได้ Scott Helme เขียน ไม่เหมาะสำหรับสมาร์ททีวี และจำนวนรากน้อยเกินไปที่จะรับประกันการรองรับใบรับรองในอุปกรณ์รุ่นเก่า มิฉะนั้นทีวีจะไม่สามารถเปิดบริการสตรีมมิ่งสมัยใหม่ได้
เหตุการณ์ล่าสุดกับ AddTrust แสดงให้เห็นว่าแม้แต่บริษัทไอทีขนาดใหญ่ก็ไม่ได้เตรียมพร้อมสำหรับข้อเท็จจริงที่ว่าใบรับรองหลักหมดอายุ
มีวิธีแก้ไขปัญหาเดียวเท่านั้น - อัปเดต นักพัฒนาอุปกรณ์อัจฉริยะจะต้องจัดเตรียมกลไกในการอัปเดตซอฟต์แวร์และใบรับรองหลักล่วงหน้า ในทางกลับกัน ผู้ผลิตจะไม่ได้ผลกำไรในการรับประกันการทำงานของอุปกรณ์ของตนหลังจากหมดระยะเวลาการรับประกัน
ที่มา: will.com