30 ستمبر کو ماسکو کے وقت کے مطابق 17:01 بجے، IdenTrust روٹ سرٹیفکیٹ (DST Root CA X3)، جسے Let's Encrypt سرٹیفیکیشن اتھارٹی (ISRG Root X1) کے روٹ سرٹیفکیٹ پر دستخط کرنے کے لیے استعمال کیا گیا تھا، جس کا کنٹرول کمیونٹی اور ہر کسی کو سرٹیفکیٹ مفت فراہم کرتا ہے، میعاد ختم ہو جاتی ہے۔ کراس سائننگ نے اس بات کو یقینی بنایا کہ Let's Encrypt سرٹیفکیٹس کو آلات، آپریٹنگ سسٹمز اور براؤزرز کی ایک وسیع رینج میں بھروسہ کیا گیا تھا جبکہ Let's Encrypt کا اپنا روٹ سرٹیفکیٹ روٹ سرٹیفکیٹ اسٹورز میں ضم کیا گیا تھا۔
اصل میں یہ منصوبہ بنایا گیا تھا کہ DST Root CA X3 کی فرسودگی کے بعد، Let's Encrypt پروجیکٹ صرف اس کے روٹ سرٹیفکیٹ کا استعمال کرتے ہوئے دستخط تیار کرنے پر سوئچ کرے گا، لیکن اس طرح کے اقدام سے بڑی تعداد میں پرانے سسٹمز کے ساتھ مطابقت ختم ہو جائے گی جو نہیں کرتے تھے۔ آئیے انکرپٹ روٹ سرٹیفکیٹ کو ان کے ذخیروں میں شامل کریں۔ خاص طور پر، استعمال میں آنے والے تقریباً 30% اینڈرائیڈ ڈیوائسز کے پاس Let's Encrypt روٹ سرٹیفکیٹ پر ڈیٹا موجود نہیں ہے، جس کے لیے سپورٹ صرف اینڈرائیڈ 7.1.1 پلیٹ فارم سے شروع ہوا، جو 2016 کے آخر میں ریلیز ہوا تھا۔
Let's Encrypt نے نئے کراس دستخطی معاہدے میں داخل ہونے کا منصوبہ نہیں بنایا، کیونکہ یہ معاہدے کے فریقین پر اضافی ذمہ داری عائد کرتا ہے، انہیں آزادی سے محروم کرتا ہے اور کسی دوسرے سرٹیفیکیشن اتھارٹی کے تمام طریقہ کار اور قواعد کی تعمیل کے معاملے میں ان کے ہاتھ باندھ دیتا ہے۔ لیکن بڑی تعداد میں اینڈرائیڈ ڈیوائسز پر ممکنہ مسائل کی وجہ سے پلان پر نظر ثانی کی گئی۔ IdenTrust سرٹیفیکیشن اتھارٹی کے ساتھ ایک نیا معاہدہ کیا گیا تھا، جس کے فریم ورک کے اندر ایک متبادل کراس دستخط شدہ Let's Encrypt انٹرمیڈیٹ سرٹیفکیٹ بنایا گیا تھا۔ کراس دستخط تین سال کے لیے درست رہے گا اور ورژن 2.3.6 سے شروع ہونے والے اینڈرائیڈ ڈیوائسز کے لیے سپورٹ برقرار رکھے گا۔
تاہم، نیا انٹرمیڈیٹ سرٹیفکیٹ بہت سے دوسرے میراثی نظاموں کا احاطہ نہیں کرتا ہے۔ مثال کے طور پر، جب DST Root CA X3 سرٹیفکیٹ 30 ستمبر کو فرسودہ ہو جاتا ہے، تو Let's Encrypt سرٹیفکیٹس کو غیر تعاون یافتہ فرم ویئر اور آپریٹنگ سسٹمز پر مزید قبول نہیں کیا جائے گا جن کے لیے ISRG Root X1 سرٹیفکیٹ کو روٹ سرٹیفکیٹ اسٹور میں دستی طور پر شامل کرنے کی ضرورت ہوتی ہے تاکہ Let's Encrypt سرٹیفکیٹس پر اعتماد کو یقینی بنایا جا سکے۔ . مسائل خود کو اس میں ظاہر کریں گے:
- OpenSSL برانچ 1.0.2 تک شامل ہے (برانچ 1.0.2 کی دیکھ بھال دسمبر 2019 میں بند کر دی گئی تھی)؛
- NSS <3.26;
- Java 8 <8u141, Java 7 <7u151;
- ونڈوز < XP SP3؛
- macOS <10.12.1؛
- iOS <10 (iPhone <5)؛
- اینڈرائیڈ <2.3.6؛
- موزیلا فائر فاکس <50؛
- اوبنٹو <16.04؛
- ڈیبین <8۔
OpenSSL 1.0.2 کی صورت میں، مسئلہ ایک ایسے بگ کی وجہ سے پیدا ہوتا ہے جو کراس دستخط شدہ سرٹیفکیٹس کو درست طریقے سے پروسیس ہونے سے روکتا ہے اگر دستخط کرنے کے لیے استعمال ہونے والے روٹ سرٹیفکیٹس میں سے ایک کی میعاد ختم ہو جائے، یہاں تک کہ اگر اعتماد کی دوسری درست زنجیریں باقی رہیں۔ مسئلہ پہلی بار پچھلے سال اس وقت سامنے آیا جب AddTrust سرٹیفکیٹ Sectigo (Comodo) سرٹیفیکیشن اتھارٹی سے کراس سائن کرنے کے لیے استعمال ہونے والا سرٹیفکیٹ متروک ہو گیا۔ مسئلہ کی جڑ یہ ہے کہ OpenSSL نے سرٹیفکیٹ کو ایک لکیری زنجیر کے طور پر پارس کیا، جبکہ RFC 4158 کے مطابق، ایک سرٹیفکیٹ ایک سے زیادہ ٹرسٹ اینکرز کے ساتھ ڈائریکٹڈ ڈسٹری بیوٹڈ سرکلر گراف کی نمائندگی کرسکتا ہے جس کو مدنظر رکھنا ضروری ہے۔
OpenSSL 1.0.2 پر مبنی پرانی تقسیم کے صارفین کو مسئلہ کو حل کرنے کے لیے تین حل پیش کیے جاتے ہیں:
- IdenTrust DST Root CA X3 روٹ سرٹیفکیٹ کو دستی طور پر ہٹا دیا اور اسٹینڈ اکیلے (کراس دستخط شدہ نہیں) ISRG Root X1 روٹ سرٹیفکیٹ انسٹال کیا۔
- Openssl verify اور s_client کمانڈز چلاتے وقت، آپ "--trusted_first" آپشن کی وضاحت کر سکتے ہیں۔
- سرور پر ایک سرٹیفکیٹ کا استعمال کریں جو ایک علیحدہ روٹ سرٹیفکیٹ SRG Root X1 سے تصدیق شدہ ہے، جس میں کراس دستخط نہیں ہیں۔ یہ طریقہ پرانے اینڈرائیڈ کلائنٹس کے ساتھ مطابقت ختم کرنے کا باعث بنے گا۔
مزید برآں، ہم نوٹ کر سکتے ہیں کہ Let's Encrypt پروجیکٹ نے دو بلین سرٹیفکیٹس کے سنگ میل کو عبور کر لیا ہے۔ ایک ارب کا سنگ میل گزشتہ سال فروری میں طے کیا گیا تھا۔ روزانہ 2.2-2.4 ملین نئے سرٹیفکیٹ تیار ہوتے ہیں۔ فعال سرٹیفکیٹس کی تعداد 192 ملین ہے (ایک سرٹیفکیٹ تین ماہ کے لیے درست ہے) اور تقریباً 260 ملین ڈومینز کا احاطہ کرتا ہے (195 ملین ڈومین ایک سال پہلے، 150 ملین دو سال پہلے، 60 ملین تین سال پہلے) کا احاطہ کرتا ہے۔ Firefox ٹیلی میٹری سروس کے اعدادوشمار کے مطابق، HTTPS کے ذریعے صفحہ کی درخواستوں کا عالمی حصہ 82% ہے (ایک سال پہلے - 81%، دو سال پہلے - 77%، تین سال پہلے - 69%، چار سال پہلے - 58%)۔
ماخذ: opennet.ru