Brauzer veb-saytni autentifikatsiya qilishi uchun u o'zini haqiqiy sertifikat zanjiri bilan taqdim etadi. Oddiy zanjir yuqorida ko'rsatilgan va bir nechta oraliq sertifikat bo'lishi mumkin. Yaroqli zanjirdagi sertifikatlarning minimal soni uchta.
Ildiz sertifikat sertifikat organining yuragi hisoblanadi. U tom ma'noda OS yoki brauzeringizga o'rnatilgan, u jismonan qurilmangizda mavjud. Uni server tomonidan o'zgartirib bo'lmaydi. Qurilmadagi OS yoki proshivkani majburiy yangilash talab qilinadi.
Xavfsizlik bo'yicha mutaxassis Skott Xelme , asosiy muammolar Let's Encrypt sertifikatlash organida paydo bo'ladi, chunki bugungi kunda u Internetdagi eng mashhur CA bo'lib, uning ildiz sertifikati tez orada yomonlashadi. Let's Encrypt ildizini o'zgartirish .
Sertifikatlash organining (CA) yakuniy va oraliq sertifikatlari mijozga serverdan, ildiz sertifikati esa mijozdan beriladi. endi bor, shuning uchun ushbu sertifikatlar to'plami bilan zanjir yaratish va veb-saytni autentifikatsiya qilish mumkin.
Muammo shundaki, har bir sertifikatning amal qilish muddati bor, undan keyin uni almashtirish kerak. Masalan, 1-yil 2020-sentabrdan boshlab ular Safari brauzerida server TLS sertifikatlarining amal qilish muddatiga cheklov joriy etishni rejalashtirmoqda. .
Bu shuni anglatadiki, har birimiz server sertifikatlarimizni kamida har 12 oyda almashtirishimiz kerak bo'ladi. Bu cheklov faqat server sertifikatlari uchun amal qiladi; u yo'q ildiz CA sertifikatlari uchun amal qiladi.
CA sertifikatlari boshqa qoidalar to'plami bilan boshqariladi va shuning uchun turli xil amal qilish chegaralariga ega. Amal qilish muddati 5 yil bo'lgan oraliq sertifikatlar va hatto 25 yil xizmat qilish muddati bo'lgan ildiz sertifikatlarini topish juda keng tarqalgan!
Odatda oraliq sertifikatlar bilan bog'liq muammolar bo'lmaydi, chunki ular mijozga server tomonidan etkazib beriladi, uning o'zi o'z sertifikatini tez-tez o'zgartiradi, shuning uchun u jarayonda oraliq sertifikatni almashtiradi. Ildiz CA sertifikatidan farqli o'laroq, uni server sertifikati bilan almashtirish juda oson.
Yuqorida aytib o'tganimizdek, ildiz CA to'g'ridan-to'g'ri mijoz qurilmasining o'ziga, OS, brauzer yoki boshqa dasturiy ta'minotga o'rnatilgan. CA ildizini o'zgartirish veb-saytning nazorati ostida emas. Bu OS yoki dasturiy ta'minot yangilanishi bo'lsin, mijozni yangilashni talab qiladi.
Ba'zi ildiz CAlar juda uzoq vaqtdan beri mavjud, biz 20-25 yil haqida gapiramiz. Tez orada eng qadimgi ildiz CA larning ba'zilari tabiiy hayotlarining oxiriga yaqinlashadi, ularning vaqti deyarli tugaydi. Ko'pchiligimiz uchun bu umuman muammo bo'lmaydi, chunki CA yangi ildiz sertifikatlarini yaratgan va ular ko'p yillar davomida OS va brauzer yangilanishlarida butun dunyo bo'ylab tarqatilgan. Ammo agar kimdir o'z OS yoki brauzerini juda uzoq vaqt davomida yangilamagan bo'lsa, bu qandaydir muammo.
Bu holat 30-yil 2020-may kuni GMT bilan soat 10:48:38 da sodir bo‘lgan. Bu aniq vaqt Comodo sertifikatlash organidan (Sectigo).
Do'konida yangi USERTrust ildiz sertifikatiga ega bo'lmagan eski qurilmalar bilan mosligini ta'minlash uchun u o'zaro imzolash uchun ishlatilgan.
Afsuski, muammolar nafaqat eski brauzerlarda, balki OpenSSL 1.0.x, LibreSSL va brauzerga asoslangan bo'lmagan mijozlarda ham paydo bo'ldi. . Masalan, pristavkalarda , xizmat , Fortinet-da, Chargify ilovalari, Linux uchun .NET Core 2.0 platformasida va .
Muammo faqat eski tizimlarga (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 va boshqalar) ta'sir qilishi taxmin qilingan edi, chunki zamonaviy brauzerlar ikkinchi USERTRust ildiz sertifikatidan foydalanishi mumkin. Lekin, aslida, bepul OpenSSL 1.0.x va GnuTLS kutubxonalaridan foydalangan yuzlab veb-xizmatlarda muvaffaqiyatsizliklar boshlandi. Sertifikat eskirganligini bildiruvchi xato xabari bilan xavfsiz ulanishni endi o‘rnatib bo‘lmadi.
Keyingi - Keling, shifrlaymiz
Kelgusi CA o'zgarishining yana bir yaxshi namunasi - Let's Encrypt sertifikat organi. Ko'proq ular Identrust zanjiridan o'zlarining ISRG Root zanjiriga o'tishni rejalashtirdilar, ammo bu .
"Android qurilmalarida ISRG ildizi qabul qilinmaganligi haqidagi xavotirlar tufayli biz ildizga oʻtish sanasini 8-yil 2019-iyuldan 8-yil 2020-iyuliga koʻchirishga qaror qildik", deyiladi Let's Encrypt bayonotida.
"Ildizni ko'paytirish" deb nomlangan muammo yoki aniqrog'i, ildiz CA barcha mijozlar orasida juda keng tarqalmaganda, ildiz tarqalishining yo'qligi sababli sanani kechiktirish kerak edi.
Let's Encrypt hozirda IdenTrust DST Root CA X3 bilan zanjirlangan o'zaro imzolangan oraliq sertifikatdan foydalanadi. Ushbu ildiz sertifikati 2000 yil sentyabr oyida berilgan va muddati 30 yil 2021 sentyabrda tugaydi. Ungacha Let's Encrypt o‘zining o‘zi imzolagan ISRG Root X1 ga o‘tishni rejalashtirmoqda.
ISRG ildizi 4-yil 2015-iyunda chiqarilgan. Shundan so'ng, uni sertifikatlashtirish organi sifatida tasdiqlash jarayoni boshlandi, bu yakunlandi . Shu nuqtadan boshlab, ildiz CA barcha mijozlar uchun operatsion tizim yoki dasturiy ta'minotni yangilash orqali mavjud edi. Siz qilishingiz kerak bo'lgan yagona narsa yangilanishni o'rnatish edi.
Lekin bu muammo.
Agar sizning mobil telefoningiz, televizoringiz yoki boshqa qurilmangiz ikki yil davomida yangilanmagan bo'lsa, u yangi ISRG Root X1 ildiz sertifikati haqida qayerdan biladi? Va agar siz uni tizimga o'rnatmasangiz, Let's Encrypt yangi ildizga o'tishi bilan qurilmangiz barcha Let's Encrypt server sertifikatlarini bekor qiladi. Va Android ekotizimida uzoq vaqt davomida yangilanmagan ko'plab eskirgan qurilmalar mavjud.
Android ekotizim
Shuning uchun Let's Encrypt o'zining ISRG ildiziga o'tishni kechiktirdi va hali ham IdenTrust ildiziga tushadigan oraliq vositadan foydalanadi. Lekin o'tish har qanday holatda ham amalga oshirilishi kerak bo'ladi. Va ildiz o'zgarishi sanasi tayinlanadi .
Qurilmangizda (televizor, pristavka yoki boshqa mijoz) ISRG X1 ildizi oʻrnatilganligini tekshirish uchun test saytini oching. . Hech qanday xavfsizlik ogohlantirishi ko'rinmasa, unda hamma narsa odatda yaxshi.
Let's Encrypt yangi ildizga o'tish muammosiga duch kelayotgan yagona narsa emas. Internetda kriptografiya 20 yildan ko'proq vaqt oldin qo'llanila boshlandi, shuning uchun hozir ko'plab ildiz sertifikatlarining amal qilish muddati tugashi kerak.
Ko'p yillar davomida Smart TV dasturini yangilamagan smart televizorlar egalari bu muammoga duch kelishlari mumkin. Masalan, yangi GlobalSign ildizi 2012-yilda chiqarilgan va ba'zi eski Smart TV-lardan keyin unga zanjir qura olmaydi, chunki ularda bu ildiz CA yo'q. Xususan, bu mijozlar bbc.co.uk veb-saytiga xavfsiz ulanish o'rnatolmadi. Muammoni hal qilish uchun BBC ma'murlari hiyla-nayrangga murojaat qilishlari kerak edi: ular eski ildizlardan foydalangan holda qo'shimcha oraliq sertifikatlar orqali и , ular hali chirigan emas.
www.bbc.co.uk (Leaf) GlobalSign ECC OV SSL CA 2018 (O‘rta) GlobalSign Root CA - R5 (O‘rta) GlobalSign Root CA - R3 (O‘rta)
Bu vaqtinchalik yechim. Mijoz dasturini yangilamaguningizcha muammo hal bo'lmaydi. Smart televizor aslida Linux bilan ishlaydigan cheklangan funksiyali kompyuterdir. Va yangilanishlarsiz uning ildiz sertifikatlari muqarrar ravishda chirigan bo'ladi.
Bu nafaqat televizorlarga, balki barcha qurilmalarga ham tegishli. Agar sizda Internetga ulangan va "aqlli" qurilma sifatida e'lon qilingan har qanday qurilmangiz bo'lsa, unda chirigan sertifikatlar muammosi deyarli unga tegishli. Agar qurilma yangilanmasa, ildiz CA do'koni vaqt o'tishi bilan eskiradi va oxir-oqibat muammo yuzaga keladi. Muammo qanchalik tez sodir bo'lishi ildiz do'koni oxirgi marta qachon yangilanganiga bog'liq. Bu qurilmaning haqiqiy chiqarilgan sanasidan bir necha yil oldin bo'lishi mumkin.
Aytgancha, bu muammo, nega ba'zi yirik media platformalar Let's Encrypt kabi zamonaviy avtomatlashtirilgan sertifikat organlaridan foydalana olmaydi, deb yozadi Skott Xelme. Ular aqlli televizorlar uchun mos emas va ildizlar soni eski qurilmalarda sertifikat qo'llab-quvvatlashini kafolatlash uchun juda kichik. Aks holda, televizor zamonaviy oqim xizmatlarini ishga tushira olmaydi.
AddTrust bilan bog'liq so'nggi voqea hatto yirik IT-kompaniyalar ham ildiz sertifikatining amal qilish muddati tugashiga tayyor emasligini ko'rsatdi.
Muammoning yagona echimi bor - yangilash. Smart qurilmalarni ishlab chiquvchilar dasturiy ta'minot va ildiz sertifikatlarini yangilash mexanizmini oldindan taqdim etishlari kerak. Boshqa tomondan, ishlab chiqaruvchilar uchun kafolat muddati tugagandan so'ng o'z qurilmalarining ishlashini ta'minlash foydali emas.
Manba: www.habr.com