Para mapatotohanan ng browser ang isang website, ipinapakita nito ang sarili nito ng isang valid na chain ng certificate. Ang isang karaniwang chain ay ipinapakita sa itaas, at maaaring mayroong higit sa isang intermediate na sertipiko. Ang pinakamababang bilang ng mga sertipiko sa isang wastong chain ay tatlo.
Ang root certificate ay ang puso ng certificate authority. Ito ay literal na naka-built sa iyong OS o browser, ito ay pisikal na naroroon sa iyong device. Hindi ito mababago mula sa panig ng server. Kinakailangan ang sapilitang pag-update ng OS o firmware sa device.
Espesyalista sa Seguridad na si Scott Helme , na ang mga pangunahing problema ay lilitaw sa awtoridad ng sertipikasyon ng Let's Encrypt, dahil ngayon ito ang pinakasikat na CA sa Internet, at malapit nang masira ang root certificate nito. Pagbabago sa ugat ng Let's Encrypt .
Ang dulo at intermediate na mga sertipiko ng awtoridad ng sertipikasyon (CA) ay inihahatid sa kliyente mula sa server, at ang root certificate ay mula sa kliyente mayroon na, kaya sa koleksyong ito ng mga certificate ay makakabuo ang isang tao ng chain at mapatotohanan ang isang website.
Ang problema ay ang bawat sertipiko ay may petsa ng pag-expire, pagkatapos nito ay kailangang palitan. Halimbawa, mula Setyembre 1, 2020, plano nilang magpakilala ng limitasyon sa panahon ng validity ng mga TLS certificate ng server sa Safari browser .
Nangangahulugan ito na kailangan nating lahat na palitan ang ating mga sertipiko ng server nang hindi bababa sa bawat 12 buwan. Nalalapat lamang ang paghihigpit na ito sa mga sertipiko ng server; ito hindi nalalapat sa mga root CA certificate.
Ang mga sertipiko ng CA ay pinamamahalaan ng ibang hanay ng mga panuntunan at samakatuwid ay may iba't ibang mga limitasyon sa bisa. Ito ay napaka-pangkaraniwan upang makahanap ng mga intermediate na sertipiko na may panahon ng bisa ng 5 taon at mga sertipiko ng ugat na may buhay ng serbisyo na kahit na 25 taon!
Karaniwang walang mga problema sa mga intermediate na sertipiko, dahil ang mga ito ay ibinibigay sa kliyente ng server, na mismong nagbabago ng sarili nitong sertipiko nang mas madalas, kaya pinapalitan lamang nito ang intermediate sa proseso. Napakadaling palitan ito kasama ng sertipiko ng server, hindi katulad ng sertipiko ng root CA.
Tulad ng nasabi na namin, ang root CA ay direktang binuo sa mismong device ng kliyente, sa OS, browser o iba pang software. Ang pagpapalit ng root CA ay lampas sa kontrol ng website. Nangangailangan ito ng pag-update sa kliyente, maging ito ay isang pag-update ng OS o software.
Ang ilang mga ugat na CA ay nasa napakatagal na panahon, pinag-uusapan natin ang tungkol sa 20-25 taon. Sa lalong madaling panahon ang ilan sa mga pinakalumang root CA ay lalapit sa katapusan ng kanilang natural na buhay, ang kanilang oras ay malapit na. Para sa karamihan sa atin, hindi ito magiging problema dahil gumawa ang mga CA ng mga bagong root certificate at ipinamahagi na sila sa buong mundo sa mga update sa OS at browser sa loob ng maraming taon. Ngunit kung ang isang tao ay hindi nag-update ng kanilang OS o browser sa napakatagal na panahon, ito ay isang uri ng problema.
Naganap ang sitwasyong ito noong Mayo 30, 2020 sa 10:48:38 GMT. Ito ang eksaktong oras kung kailan mula sa Comodo certification authority (Sectigo).
Ginamit ito para sa cross-signing upang matiyak ang pagiging tugma sa mga legacy na device na walang bagong USERTrust root certificate sa kanilang tindahan.
Sa kasamaang palad, lumitaw ang mga problema hindi lamang sa mga legacy na browser, kundi pati na rin sa mga hindi browser na kliyente batay sa OpenSSL 1.0.x, LibreSSL at . Halimbawa, sa mga set-top box , serbisyo , sa Fortinet, Chargify na mga application, sa .NET Core 2.0 platform para sa Linux at .
Ipinapalagay na ang problema ay makakaapekto lamang sa mga legacy system (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, atbp.), dahil magagamit ng mga modernong browser ang pangalawang USERTRust root certificate. Ngunit sa katunayan, nagsimula ang mga pagkabigo sa daan-daang mga serbisyo sa web na gumamit ng mga libreng library ng OpenSSL 1.0.x at GnuTLS. Ang isang secure na koneksyon ay hindi na maitatag na may mensahe ng error na nagsasaad na ang sertipiko ay hindi na napapanahon.
Susunod - I-encrypt Natin
Ang isa pang magandang halimbawa ng paparating na pagbabago sa root CA ay ang Let's Encrypt certificate authority. Higit pa binalak nilang lumipat mula sa Identrust chain patungo sa sarili nilang ISRG Root chain, ngunit ito .
"Dahil sa mga alalahanin tungkol sa kakulangan ng paggamit ng ISRG root sa mga Android device, nagpasya kaming ilipat ang petsa ng native na root transition mula Hulyo 8, 2019 hanggang Hulyo 8, 2020," sabi ng Let's Encrypt sa isang pahayag.
Kinailangang ipagpaliban ang petsa dahil sa isang problemang tinatawag na "root propagation", o mas tiyak, ang kakulangan ng root propagation, kapag ang root CA ay hindi masyadong malawak na ipinamamahagi sa lahat ng mga kliyente.
Ang Let's Encrypt ay kasalukuyang gumagamit ng cross-signed intermediate certificate na nakakadena sa IdenTrust DST Root CA X3. Ang root certificate na ito ay inisyu noong Setyembre 2000 at mag-e-expire sa Setyembre 30, 2021. Hanggang sa panahong iyon, plano ng Let's Encrypt na lumipat sa sarili nitong pinirmahang ISRG Root X1.
Inilabas ang ugat ng ISRG noong Hunyo 4, 2015. Pagkatapos nito, nagsimula ang proseso ng pag-apruba nito bilang awtoridad sa sertipikasyon, na natapos . Mula sa puntong ito, ang root CA ay magagamit sa lahat ng mga kliyente sa pamamagitan ng isang operating system o pag-update ng software. Ang kailangan mo lang gawin ay i-install ang update.
Pero yun ang problema.
Kung ang iyong mobile phone, TV o iba pang device ay hindi na-update sa loob ng dalawang taon, paano nito malalaman ang tungkol sa bagong ISRG Root X1 root certificate? At kung hindi mo ito mai-install sa system, ang iyong device ay magpapawalang-bisa sa lahat ng Let's Encrypt server certificates sa sandaling ang Let's Encrypt ay lumipat sa isang bagong root. At sa Android ecosystem mayroong maraming mga hindi napapanahong mga aparato na hindi na-update sa loob ng mahabang panahon.
Android ecosystem
Ito ang dahilan kung bakit naantala ang Let's Encrypt na lumipat sa sarili nitong ugat ng ISRG at gumagamit pa rin ng intermediate na bumababa sa ugat ng IdenTrust. Ngunit ang paglipat ay kailangang gawin sa anumang kaso. At ang petsa ng pagbabago ng ugat ay itinalaga .
Upang tingnan kung ang ISRG X1 root ay naka-install sa iyong device (TV, set-top box o iba pang client), buksan ang test site . Kung walang lalabas na babala sa seguridad, karaniwang maayos ang lahat.
Ang Let's Encrypt ay hindi lamang ang nahaharap sa hamon ng paglipat sa isang bagong ugat. Ang kriptograpiya sa Internet ay nagsimulang gamitin mahigit 20 taon na ang nakalilipas, kaya ngayon na ang panahon kung kailan maraming root certificate ang malapit nang mag-expire.
Maaaring makatagpo ng problemang ito ang mga may-ari ng mga smart TV na hindi nag-update ng software ng Smart TV sa loob ng maraming taon. Halimbawa, ang bagong GlobalSign root ay inilabas noong 2012, at pagkatapos ng ilang lumang Smart TV ay hindi na makabuo ng isang chain dito, dahil wala silang ganitong root CA. Sa partikular, ang mga kliyenteng ito ay hindi nakapagtatag ng secure na koneksyon sa bbc.co.uk website. Upang malutas ang problema, ang mga administrador ng BBC ay kailangang gumawa ng isang lansihin: sila sa pamamagitan ng karagdagang mga intermediate na sertipiko, gamit ang mga lumang ugat ΠΈ , na hindi pa nabubulok.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (Intermediate) GlobalSign Root CA - R5 (Intermediate) GlobalSign Root CA - R3 (Intermediate)
Ito ay pansamantalang solusyon. Hindi mawawala ang problema maliban kung i-update mo ang software ng kliyente. Ang isang matalinong TV ay mahalagang isang limitadong functionality na computer na nagpapatakbo ng Linux. At kung walang mga update, ang mga root certificate nito ay hindi maiiwasang maging bulok.
Nalalapat ito sa lahat ng device, hindi lang sa mga TV. Kung mayroon kang anumang device na nakakonekta sa Internet at na-advertise bilang isang "matalinong" device, kung gayon ang problema sa mga bulok na sertipiko ay halos tiyak na may kinalaman dito. Kung hindi na-update ang device, ang root CA store ay magiging lipas na sa paglipas ng panahon at sa kalaunan ay lalabas ang problema. Kung gaano kabilis mangyari ang problema ay depende sa kung kailan huling na-update ang root store. Ito ay maaaring ilang taon bago ang aktwal na petsa ng paglabas ng device.
Sa pamamagitan ng paraan, ito ang problema kung bakit ang ilang malalaking platform ng media ay hindi maaaring gumamit ng mga modernong awtomatikong awtoridad sa sertipiko tulad ng Let's Encrypt, isinulat ni Scott Helme. Hindi angkop ang mga ito para sa mga smart TV, at ang bilang ng mga ugat ay masyadong maliit upang magarantiya ang suporta sa certificate sa mga legacy na device. Kung hindi, hindi lang makakapaglunsad ang TV ng mga modernong serbisyo sa streaming.
Ang pinakahuling insidente sa AddTrust ay nagpakita na kahit na ang malalaking kumpanya ng IT ay hindi handa para sa katotohanan na ang root certificate ay mag-e-expire.
Mayroon lamang isang solusyon sa problema - i-update. Ang mga developer ng mga smart device ay dapat magbigay ng mekanismo para sa pag-update ng software at root certificate nang maaga. Sa kabilang banda, hindi kumikita ang mga tagagawa na tiyakin ang pagpapatakbo ng kanilang mga device pagkatapos mag-expire ang panahon ng warranty.
Pinagmulan: www.habr.com