کسی ویب سائٹ کی توثیق کرنے کے لیے براؤزر کے لیے، یہ خود کو ایک درست سرٹیفکیٹ چین کے ساتھ پیش کرتا ہے۔ ایک عام سلسلہ اوپر دکھایا گیا ہے، اور ایک سے زیادہ انٹرمیڈیٹ سرٹیفکیٹ ہو سکتا ہے۔ ایک درست سلسلہ میں سرٹیفکیٹس کی کم از کم تعداد تین ہے۔
روٹ سرٹیفکیٹ سرٹیفکیٹ اتھارٹی کا دل ہے۔ یہ لفظی طور پر آپ کے OS یا براؤزر میں بنایا گیا ہے، یہ آپ کے آلے پر جسمانی طور پر موجود ہے۔ اسے سرور کی طرف سے تبدیل نہیں کیا جا سکتا۔ ڈیوائس پر OS یا فرم ویئر کی زبردستی اپ ڈیٹ درکار ہے۔
سیکیورٹی اسپیشلسٹ سکاٹ ہیلم ، کہ بنیادی مسائل Let's Encrypt سرٹیفیکیشن اتھارٹی کے ساتھ پیدا ہوں گے، کیونکہ آج یہ انٹرنیٹ پر سب سے زیادہ مقبول CA ہے، اور اس کا روٹ سرٹیفکیٹ جلد ہی خراب ہو جائے گا۔ آئیے انکرپٹ روٹ کو تبدیل کرنا .
سرٹیفیکیشن اتھارٹی (CA) کے اختتامی اور درمیانی سرٹیفکیٹ کلائنٹ کو سرور سے فراہم کیے جاتے ہیں، اور روٹ سرٹیفکیٹ کلائنٹ کی طرف سے ہوتا ہے۔ پہلے سے ہی ہےلہذا سرٹیفکیٹس کے اس مجموعے سے کوئی ایک سلسلہ بنا سکتا ہے اور ویب سائٹ کی تصدیق کر سکتا ہے۔
مسئلہ یہ ہے کہ ہر سرٹیفکیٹ کی میعاد ختم ہونے کی تاریخ ہوتی ہے، جس کے بعد اسے تبدیل کرنے کی ضرورت ہوتی ہے۔ مثال کے طور پر، 1 ستمبر 2020 سے، وہ سفاری براؤزر میں سرور TLS سرٹیفکیٹس کی میعاد کی مدت پر ایک حد متعارف کرانے کا ارادہ رکھتے ہیں۔ .
اس کا مطلب ہے کہ ہم سب کو کم از کم ہر 12 ماہ بعد اپنے سرور سرٹیفکیٹس کو تبدیل کرنا ہوگا۔ یہ پابندی صرف سرور سرٹیفکیٹس پر لاگو ہوتی ہے۔ کوئی روٹ CA سرٹیفکیٹ پر لاگو ہوتا ہے۔
CA سرٹیفکیٹس مختلف قواعد کے تحت چلائے جاتے ہیں اور اس لیے ان کی درستی کی حدیں مختلف ہوتی ہیں۔ 5 سال کی میعاد کے ساتھ انٹرمیڈیٹ سرٹیفکیٹس اور 25 سال کی سروس لائف کے ساتھ روٹ سرٹیفکیٹ تلاش کرنا بہت عام ہے!
عام طور پر انٹرمیڈیٹ سرٹیفکیٹ کے ساتھ کوئی مسئلہ نہیں ہوتا ہے، کیونکہ وہ کلائنٹ کو سرور کے ذریعہ فراہم کیے جاتے ہیں، جو خود اپنے سرٹیفکیٹ کو زیادہ کثرت سے تبدیل کرتا ہے، لہذا یہ عمل میں صرف انٹرمیڈیٹ کو بدل دیتا ہے۔ روٹ CA سرٹیفکیٹ کے برعکس اسے سرور سرٹیفکیٹ کے ساتھ تبدیل کرنا کافی آسان ہے۔
جیسا کہ ہم پہلے ہی کہہ چکے ہیں، روٹ CA براہ راست کلائنٹ ڈیوائس میں، OS، براؤزر یا دوسرے سافٹ ویئر میں بنایا گیا ہے۔ روٹ CA کو تبدیل کرنا ویب سائٹ کے اختیار سے باہر ہے۔ اس کے لیے کلائنٹ پر اپ ڈیٹ کی ضرورت ہے، چاہے وہ OS ہو یا سافٹ ویئر اپ ڈیٹ۔
کچھ روٹ سی اے بہت طویل عرصے سے موجود ہیں، ہم 20-25 سال کے بارے میں بات کر رہے ہیں۔ جلد ہی کچھ قدیم ترین روٹ CAs اپنی فطری زندگی کے اختتام کو پہنچیں گے، ان کا وقت قریب قریب ہے۔ ہم میں سے اکثر کے لیے یہ کوئی مسئلہ نہیں ہوگا کیونکہ CAs نے نئے روٹ سرٹیفکیٹ بنائے ہیں اور وہ کئی سالوں سے OS اور براؤزر اپڈیٹس میں دنیا بھر میں تقسیم کیے جا رہے ہیں۔ لیکن اگر کسی نے اپنے OS یا براؤزر کو بہت عرصے سے اپ ڈیٹ نہیں کیا ہے، تو یہ ایک قسم کا مسئلہ ہے۔
یہ صورتحال 30 مئی 2020 کو 10:48:38 GMT پر پیش آئی۔ یہ عین وقت ہے جب کوموڈو سرٹیفیکیشن اتھارٹی (Sectigo) سے۔
اس کا استعمال کراس سائن کرنے کے لیے کیا گیا تھا تاکہ ان پرانے آلات کے ساتھ مطابقت کو یقینی بنایا جا سکے جن کے اسٹور میں نیا USERTrust روٹ سرٹیفکیٹ نہیں ہے۔
بدقسمتی سے، مسائل نہ صرف میراثی براؤزرز میں پیدا ہوئے بلکہ OpenSSL 1.0.x، LibreSSL اور پر مبنی غیر براؤزر کلائنٹس میں بھی . مثال کے طور پر سیٹ ٹاپ بکس میں ، خدمت فورٹینیٹ میں، لینکس کے لیے .NET کور 2.0 پلیٹ فارم پر چارجیفائی ایپلی کیشنز اور .
یہ فرض کیا گیا تھا کہ یہ مسئلہ صرف لیگیسی سسٹمز (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, وغیرہ) کو متاثر کرے گا، کیونکہ جدید براؤزر دوسرا USERTRust روٹ سرٹیفکیٹ استعمال کر سکتے ہیں۔ لیکن درحقیقت، سینکڑوں ویب سروسز میں ناکامیاں شروع ہوئیں جنہوں نے مفت OpenSSL 1.0.x اور GnuTLS لائبریریوں کا استعمال کیا۔ ایک محفوظ کنکشن اب ایک غلطی کے پیغام کے ساتھ قائم نہیں کیا جا سکتا ہے جس سے یہ ظاہر ہوتا ہے کہ سرٹیفکیٹ پرانا ہے۔
اگلا - آئیے انکرپٹ کرتے ہیں۔
آنے والی روٹ CA تبدیلی کی ایک اور اچھی مثال Let's Encrypt سرٹیفکیٹ اتھارٹی ہے۔ مزید انہوں نے Identrust چین سے اپنی ISRG روٹ چین میں جانے کا منصوبہ بنایا، لیکن یہ .
لیٹس انکرپٹ نے ایک بیان میں کہا، "اینڈرائیڈ ڈیوائسز پر آئی ایس آر جی روٹ کو اپنانے کی کمی کے خدشات کی وجہ سے، ہم نے مقامی روٹ کی منتقلی کی تاریخ کو 8 جولائی 2019 سے 8 جولائی 2020 تک منتقل کرنے کا فیصلہ کیا ہے۔"
تاریخ کو "روٹ پروپیگیشن" نامی مسئلے کی وجہ سے ملتوی کرنا پڑا، یا زیادہ واضح طور پر، روٹ پروپیگیشن کی کمی، جب روٹ CA تمام کلائنٹس میں زیادہ وسیع پیمانے پر تقسیم نہیں کیا جاتا ہے۔
آئیے انکرپٹ فی الحال IdenTrust DST Root CA X3 سے جکڑے ہوئے ایک کراس دستخط شدہ انٹرمیڈیٹ سرٹیفکیٹ کا استعمال کرتا ہے۔ یہ روٹ سرٹیفکیٹ واپس ستمبر 2000 میں جاری کیا گیا تھا اور اس کی میعاد 30 ستمبر 2021 کو ختم ہو رہی ہے۔ اس وقت تک، چلو انکرپٹ اپنے خود دستخط شدہ ISRG Root X1 پر منتقل کرنے کا ارادہ رکھتا ہے۔
ISRG روٹ 4 جون 2015 کو جاری ہوا۔ اس کے بعد سرٹیفیکیشن اتھارٹی کے طور پر اس کی منظوری کا عمل شروع ہوا جو ختم ہوگیا۔ . اس وقت سے، روٹ CA آپریٹنگ سسٹم یا سافٹ ویئر اپ ڈیٹ کے ذریعے تمام کلائنٹس کے لیے دستیاب تھا۔ آپ کو بس اپ ڈیٹ انسٹال کرنا تھا۔
لیکن یہی مسئلہ ہے۔
اگر آپ کا موبائل فون، ٹی وی یا دیگر ڈیوائس دو سالوں سے اپ ڈیٹ نہیں ہوئی ہے، تو اسے نئے ISRG Root X1 روٹ سرٹیفکیٹ کے بارے میں کیسے پتہ چلے گا؟ اور اگر آپ اسے سسٹم پر انسٹال نہیں کرتے ہیں، تو لیٹس انکرپٹ کے نئے روٹ پر سوئچ ہوتے ہی آپ کا آلہ لیٹس انکرپٹ سرور کے تمام سرٹیفکیٹس کو باطل کر دے گا۔ اور اینڈرائیڈ ایکو سسٹم میں بہت سے پرانے ڈیوائسز ہیں جو کافی عرصے سے اپ ڈیٹ نہیں ہوئے ہیں۔
اینڈرائیڈ ماحولیاتی نظام
یہی وجہ ہے کہ آئیے انکرپٹ نے اپنے ISRG روٹ پر جانے میں تاخیر کی اور اب بھی ایک انٹرمیڈیٹ استعمال کرتا ہے جو IdenTrust جڑ تک جاتا ہے۔ لیکن منتقلی ہر حال میں کرنی پڑے گی۔ اور روٹ کی تبدیلی کی تاریخ تفویض کی گئی ہے۔ .
یہ چیک کرنے کے لیے کہ آپ کے آلے (ٹی وی، سیٹ ٹاپ باکس یا دیگر کلائنٹ) پر ISRG X1 روٹ انسٹال ہے، ٹیسٹ سائٹ کھولیں۔ . اگر کوئی سیکورٹی انتباہ ظاہر نہیں ہوتا ہے، تو سب کچھ عام طور پر ٹھیک ہے.
آئیے انکرپٹ صرف وہی نہیں ہے جسے نئے روٹ پر منتقل ہونے کے چیلنج کا سامنا ہے۔ انٹرنیٹ پر کرپٹوگرافی کا استعمال 20 سال سے کچھ زیادہ پہلے ہونا شروع ہوا تھا، لہٰذا اب وہ وقت آ گیا ہے جب بہت سے روٹ سرٹیفکیٹس کی میعاد ختم ہونے والی ہے۔
سمارٹ ٹی وی کے مالکان جنہوں نے کئی سالوں سے سمارٹ ٹی وی سافٹ ویئر کو اپ ڈیٹ نہیں کیا ہے انہیں اس پریشانی کا سامنا کرنا پڑ سکتا ہے۔ مثال کے طور پر، نیا گلوبل سائن روٹ 2012 میں جاری کیا گیا تھا، اور کچھ پرانے سمارٹ ٹی وی کے بعد اس میں کوئی سلسلہ نہیں بنا سکتے، کیونکہ ان کے پاس یہ روٹ CA نہیں ہے۔ خاص طور پر، یہ کلائنٹس bbc.co.uk ویب سائٹ سے محفوظ کنکشن قائم کرنے سے قاصر تھے۔ اس مسئلے کو حل کرنے کے لیے، بی بی سی کے منتظمین کو ایک چال کا سہارا لینا پڑا: وہ پرانی جڑوں کا استعمال کرتے ہوئے اضافی انٹرمیڈیٹ سرٹیفکیٹ کے ذریعے и جو ابھی تک بوسیدہ نہیں ہوئے۔
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (انٹرمیڈیٹ) GlobalSign Root CA - R5 (انٹرمیڈیٹ) GlobalSign Root CA - R3 (انٹرمیڈیٹ)
یہ ایک عارضی حل ہے۔ مسئلہ اس وقت تک دور نہیں ہوگا جب تک کہ آپ کلائنٹ سافٹ ویئر کو اپ ڈیٹ نہیں کرتے۔ ایک سمارٹ ٹی وی بنیادی طور پر ایک محدود فعالیت والا کمپیوٹر ہے جو لینکس چلاتا ہے۔ اور اپ ڈیٹس کے بغیر، اس کے روٹ سرٹیفکیٹ لامحالہ بوسیدہ ہو جائیں گے۔
یہ تمام آلات پر لاگو ہوتا ہے، نہ صرف ٹی وی پر۔ اگر آپ کے پاس کوئی ایسا آلہ ہے جو انٹرنیٹ سے جڑا ہوا ہے اور اس کی تشہیر ایک "سمارٹ" ڈیوائس کے طور پر کی گئی ہے، تو بوسیدہ سرٹیفکیٹس کا مسئلہ تقریباً یقینی طور پر اس سے متعلق ہے۔ اگر ڈیوائس کو اپ ڈیٹ نہیں کیا جاتا ہے تو، روٹ CA اسٹور وقت کے ساتھ پرانا ہو جائے گا اور آخرکار مسئلہ سامنے آجائے گا۔ مسئلہ کتنی جلدی ہوتا ہے اس کا انحصار اس بات پر ہے کہ روٹ اسٹور کو آخری بار کب اپ ڈیٹ کیا گیا تھا۔ یہ آلہ کی اصل ریلیز کی تاریخ سے کئی سال پہلے ہوسکتا ہے۔
ویسے، یہ مسئلہ ہے کہ کچھ بڑے میڈیا پلیٹ فارم جدید خودکار سرٹیفکیٹ اتھارٹیز کو کیوں استعمال نہیں کر سکتے جیسے Let's Encrypt، سکاٹ ہیلم لکھتے ہیں۔ وہ سمارٹ ٹی وی کے لیے موزوں نہیں ہیں، اور جڑوں کی تعداد اتنی کم ہے کہ لیگیسی ڈیوائسز پر سرٹیفکیٹ سپورٹ کی ضمانت دے سکے۔ بصورت دیگر، TV آسانی سے جدید اسٹریمنگ سروسز شروع نہیں کر سکے گا۔
AddTrust کے ساتھ تازہ ترین واقعہ نے ظاہر کیا کہ بڑی IT کمپنیاں بھی اس حقیقت کے لیے تیار نہیں ہیں کہ روٹ سرٹیفکیٹ کی میعاد ختم ہو جاتی ہے۔
مسئلے کا ایک ہی حل ہے - اپ ڈیٹ۔ سمارٹ ڈیوائسز کے ڈویلپرز کو سافٹ ویئر اور روٹ سرٹیفکیٹس کو پہلے سے اپ ڈیٹ کرنے کا طریقہ کار فراہم کرنا چاہیے۔ دوسری طرف، مینوفیکچررز کے لیے وارنٹی کی مدت ختم ہونے کے بعد اپنے آلات کے آپریشن کو یقینی بنانا منافع بخش نہیں ہے۔
ماخذ: www.habr.com