Bir tarayıcının bir web sitesinin kimliğini doğrulaması için kendisini geçerli bir sertifika zinciriyle sunar. Yukarıda tipik bir zincir gösterilmektedir ve birden fazla ara sertifika bulunabilir. Geçerli bir zincirdeki minimum sertifika sayısı üçtür.
Kök sertifika, sertifika yetkilisinin kalbidir. Kelimenin tam anlamıyla işletim sisteminize veya tarayıcınıza yerleşiktir, fiziksel olarak cihazınızda mevcuttur. Sunucu tarafından değiştirilemez. Cihazdaki işletim sisteminin veya donanım yazılımının zorunlu olarak güncellenmesi gerekiyor.
Güvenlik Uzmanı Scott Helme Let's Encrypt sertifika yetkilisi ile ilgili temel sorunların ortaya çıkacağını, çünkü bugün İnternet'teki en popüler CA'dır ve kök sertifikası yakında bozulacaktır. Let's Encrypt kökünü değiştirme .
Sertifika yetkilisinin (CA) son ve ara sertifikaları istemciye sunucudan teslim edilir ve kök sertifika istemciden alınır. zaten sahipBöylece bu sertifika koleksiyonuyla bir zincir oluşturulabilir ve bir web sitesinin kimliği doğrulanabilir.
Sorun, her sertifikanın bir son kullanma tarihinin olması ve bu tarihten sonra değiştirilmesi gerekmesidir. Örneğin 1 Eylül 2020'den itibaren Safari tarayıcısındaki sunucu TLS sertifikalarının geçerlilik süresine bir sınırlama getirmeyi planlıyorlar .
Bu, hepimizin sunucu sertifikalarımızı en az 12 ayda bir değiştirmemiz gerektiği anlamına gelir. Bu kısıtlama yalnızca sunucu sertifikaları için geçerlidir; hayır kök CA sertifikaları için geçerlidir.
CA sertifikaları farklı kurallara tabidir ve bu nedenle farklı geçerlilik sınırlarına sahiptir. Geçerlilik süresi 5 yıl olan ara sertifikalar ve hatta 25 yıl hizmet ömrüne sahip kök sertifikalar bulmak çok yaygındır!
Ara sertifikalarla ilgili genellikle herhangi bir sorun yoktur, çünkü bunlar istemciye kendi sertifikasını çok daha sık değiştiren sunucu tarafından sağlanır, bu nedenle süreçte sadece ara sertifikanın yerini alır. Kök CA sertifikasının aksine, sunucu sertifikasıyla birlikte değiştirilmesi oldukça kolaydır.
Daha önce de söylediğimiz gibi, kök CA doğrudan istemci aygıtının içine, işletim sistemine, tarayıcıya veya diğer yazılıma yerleşiktir. Kök CA'yı değiştirmek web sitesinin kontrolü dışındadır. Bu, ister işletim sistemi ister yazılım güncellemesi olsun, istemcide bir güncelleme yapılmasını gerektirir.
Bazı kök CA'lar çok uzun zamandır ortalıktalar, yaklaşık 20-25 yıldan bahsediyoruz. Yakında en eski kök CA'lardan bazıları doğal yaşamlarının sonuna yaklaşacak, süreleri dolmak üzere. Çoğumuz için bu hiç sorun olmayacak çünkü CA'lar yeni kök sertifikalar oluşturdular ve bunlar uzun yıllardan beri işletim sistemi ve tarayıcı güncellemeleriyle dünya çapında dağıtılıyor. Ancak birisi işletim sistemini veya tarayıcısını çok uzun süredir güncellemediyse, bu bir tür sorundur.
Bu durum 30 Mayıs 2020 10:48:38 GMT'de meydana geldi. Tam olarak bu zaman Comodo sertifika yetkilisinden (Sectigo).
Mağazalarında yeni USERTrust kök sertifikasına sahip olmayan eski cihazlarla uyumluluğu sağlamak amacıyla çapraz imzalama için kullanıldı.
Maalesef sorunlar yalnızca eski tarayıcılarda değil aynı zamanda OpenSSL 1.0.x, LibreSSL ve tabanlı tarayıcı olmayan istemcilerde de ortaya çıktı. . Örneğin set üstü kutularda , hizmet , Fortinet, Chargify uygulamalarında, Linux için .NET Core 2.0 platformunda ve .
Modern tarayıcılar ikinci USERTrust kök sertifikasını kullanabildiğinden, sorunun yalnızca eski sistemleri (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 vb.) etkileyeceği varsayılmıştır. Ancak aslında ücretsiz OpenSSL 1.0.x ve GnuTLS kitaplıklarını kullanan yüzlerce web hizmetinde hatalar başladı. Sertifikanın güncel olmadığını belirten bir hata mesajıyla artık güvenli bağlantı kurulamıyor.
Sonraki - Haydi Şifreleyelim
Yaklaşan kök CA değişikliğinin bir başka güzel örneği de Let's Encrypt sertifika yetkilisidir. Daha Identrust zincirinden kendi ISRG Kök zincirlerine geçmeyi planladılar ancak bu .
Let's Encrypt yaptığı açıklamada, "ISRG kökünün Android cihazlarda benimsenmemesiyle ilgili endişeler nedeniyle, yerel kök geçiş tarihini 8 Temmuz 2019'dan 8 Temmuz 2020'ye taşımaya karar verdik." dedi.
Kök CA'nın tüm istemciler arasında çok geniş bir şekilde dağıtılmaması durumunda, "kök yayılımı" adı verilen bir sorun veya daha doğrusu kök yayılımının olmaması nedeniyle tarihin ertelenmesi gerekti.
Let's Encrypt şu anda IdenTrust DST Root CA X3'e zincirlenmiş çapraz imzalı bir ara sertifika kullanıyor. Bu kök sertifika Eylül 2000'de verilmiş olup geçerliliği 30 Eylül 2021'de sona ermektedir. O zamana kadar Let's Encrypt, kendi imzasını taşıyan ISRG Root X1'e geçmeyi planlıyor.
ISRG kökü 4 Haziran 2015'te yayınlandı. Bunun ardından sertifika yetkilisi olarak onaylanma süreci başladı ve sona erdi. . Bu noktadan itibaren kök CA, bir işletim sistemi veya yazılım güncellemesi yoluyla tüm istemcilerin kullanımına sunuldu. Tek yapmanız gereken güncellemeyi yüklemekti.
Ama sorun bu.
Cep telefonunuz, TV'niz veya diğer cihazınız iki yıldır güncellenmemişse yeni ISRG Root X1 kök sertifikasından nasıl haberdar olacak? Ve eğer sisteme kurmazsanız, Let's Encrypt yeni bir köke geçtiği anda cihazınız tüm Let's Encrypt sunucu sertifikalarını geçersiz kılacaktır. Ve Android ekosisteminde uzun süredir güncellenmeyen birçok eski cihaz var.
Android ekosistemi
Let's Encrypt'in kendi ISRG köküne geçmeyi geciktirmesinin ve hala IdenTrust köküne inen bir ara ürün kullanmasının nedeni budur. Ancak her halükarda geçişin yapılması gerekecek. Ve kök değişim tarihi atanır .
Cihazınızda (TV, set üstü kutu veya başka bir istemci) ISRG X1 kökünün yüklü olup olmadığını kontrol etmek için test sitesini açın . Herhangi bir güvenlik uyarısı görünmüyorsa, genellikle her şey yolunda demektir.
Yeni bir köke geçme zorluğuyla karşı karşıya kalan tek kişi Let's Encrypt değil. İnternette kriptografi 20 yıldan biraz daha uzun bir süre önce kullanılmaya başlandı ve artık birçok kök sertifikanın süresinin dolmak üzere olduğu bir dönemdeyiz.
Uzun yıllardır Smart TV yazılımını güncellemeyen akıllı TV sahipleri bu sorunla karşılaşabilirler. Örneğin, yeni GlobalSign kökü 2012'de piyasaya sürüldü ve bazı eski Akıllı TV'ler bundan sonra ona bir zincir oluşturamıyor çünkü bu kök CA'ya sahip değiller. Özellikle bu müşteriler bbc.co.uk web sitesine güvenli bir bağlantı kuramadı. Sorunu çözmek için BBC yöneticileri bir numaraya başvurmak zorunda kaldı: eski kökleri kullanan ek ara sertifikalar aracılığıyla и henüz çürümemiş olan.
www.bbc.co.uk (Yaprak) GlobalSign ECC OV SSL CA 2018 (Orta) GlobalSign Root CA - R5 (Orta) GlobalSign Root CA - R3 (Orta)
Bu geçici bir çözümdür. İstemci yazılımını güncellemediğiniz sürece sorun ortadan kalkmayacaktır. Akıllı TV aslında Linux çalıştıran sınırlı işlevselliğe sahip bir bilgisayardır. Güncellemeler olmadan kök sertifikaları kaçınılmaz olarak çürüyecektir.
Bu sadece televizyonlar için değil tüm cihazlar için geçerlidir. İnternete bağlı ve "akıllı" cihaz olarak tanıtılan herhangi bir cihazınız varsa, o zaman çürük sertifikalarla ilgili sorun neredeyse kesinlikle onu ilgilendiriyor. Cihaz güncellenmezse kök CA deposu zamanla güncelliğini yitirecek ve sonunda sorun ortaya çıkacaktır. Sorunun ne kadar sürede ortaya çıkacağı, kök deponun en son ne zaman güncellendiğine bağlıdır. Bu, cihazın gerçek çıkış tarihinden birkaç yıl önce olabilir.
Bu arada, bazı büyük medya platformlarının Let's Encrypt gibi modern otomatik sertifika yetkililerini kullanamamasının nedeni de bu, diye yazıyor Scott Helme. Akıllı TV'ler için uygun değildirler ve kök sayısı, eski cihazlarda sertifika desteğini garanti edemeyecek kadar azdır. Aksi takdirde TV, modern yayın hizmetlerini başlatamayacaktır.
AddTrust'ta yaşanan son olay, büyük BT şirketlerinin bile kök sertifikanın süresinin dolması gerçeğine hazırlıklı olmadığını gösterdi.
Sorunun tek bir çözümü var; güncelleme. Akıllı cihaz geliştiricileri, yazılımı ve kök sertifikaları güncellemek için önceden bir mekanizma sağlamalıdır. Öte yandan üreticilerin, cihazlarının garanti süresi dolduktan sonra çalışır durumda kalmasını sağlamaları da karlı değildir.
Kaynak: habr.com