30-sentabr kuni Moskva vaqti bilan soat 17:01 da IdenTrust ildiz sertifikati (DST Root CA X3) hamjamiyat tomonidan nazorat qilinadigan Let's Encrypt sertifikatlash organining (ISRG Root X1) ildiz sertifikatini oʻzaro imzolash uchun ishlatilgan. sertifikatlarni hammaga bepul beradi, muddati tugaydi. Oʻzaro imzo qoʻyish Let's Encrypt sertifikatlarining keng doiradagi qurilmalar, operatsion tizimlar va brauzerlarda ishonchli boʻlishini taʼminladi, Let's Encrypt esa oʻzining ildiz sertifikati ildiz sertifikatlari doʻkonlariga birlashtirilgan.
Dastlab DST Root CA X3 eskirganidan so'ng, Let's Encrypt loyihasi faqat ildiz sertifikatidan foydalangan holda imzolarni yaratishga o'tishi rejalashtirilgan edi, ammo bunday harakat ko'p sonli eski tizimlar bilan moslikni yo'qotishiga olib keladi. ularning omborlariga Let's Encrypt ildiz sertifikatini qo'shing. Xususan, ishlatilayotgan Android qurilmalarining taxminan 30 foizida Let’s Encrypt ildiz sertifikatida ma’lumotlar yo‘q, uni qo‘llab-quvvatlash 7.1.1-yil oxirida chiqarilgan Android 2016 platformasidan boshlab paydo bo‘lgan.
Let's Encrypt yangi o'zaro imzo shartnomasini tuzishni rejalashtirmagan, chunki bu bitim taraflariga qo'shimcha mas'uliyat yuklaydi, ularni mustaqillikdan mahrum qiladi va boshqa sertifikatlashtirish organining barcha protseduralari va qoidalariga rioya qilish nuqtai nazaridan qo'llarini bog'laydi. Ammo ko'p sonli Android qurilmalarida yuzaga kelishi mumkin bo'lgan muammolar tufayli reja qayta ko'rib chiqildi. IdenTrust sertifikatlashtirish organi bilan yangi shartnoma tuzildi, uning doirasida muqobil o'zaro imzolangan Let's Encrypt oraliq sertifikati yaratildi. O'zaro imzo uch yil davomida amal qiladi va 2.3.6 versiyasidan boshlab Android qurilmalarini qo'llab-quvvatlaydi.
Biroq, yangi oraliq sertifikat ko'plab boshqa eski tizimlarni qamrab olmaydi. Masalan, 3-sentabrda DST Root CA X30 sertifikati eskirganligi sababli Let’s Encrypt sertifikatlari qo‘llab-quvvatlanmaydigan mikrodastur va operatsion tizimlarda qabul qilinmaydi, bu esa Let’s’ga ishonchni ta’minlash uchun ISRG Root X1 sertifikatini ildiz sertifikatlari do‘koniga qo‘lda qo‘shishni talab qiladi. Sertifikatlarni shifrlash. Muammolar quyidagilarda namoyon bo'ladi:
- OpenSSL 1.0.2 filialigacha (1.0.2 filialiga texnik xizmat ko'rsatish 2019 yil dekabr oyida to'xtatilgan);
- NSS <3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS <10.12.1;
- iOS < 10 (iPhone < 5);
- Android <2.3.6;
- Mozilla Firefox < 50;
- Ubuntu <16.04;
- Debian <8.
OpenSSL 1.0.2 holatida muammo, agar imzolash uchun foydalanilgan asosiy sertifikatlardan biri muddati tugasa, boshqa ishonchli ishonch zanjirlari saqlanib qolsa ham, oʻzaro imzolangan sertifikatlarni toʻgʻri qayta ishlashga toʻsqinlik qiluvchi xatolik tufayli yuzaga keladi. Muammo birinchi marta o'tgan yili Sectigo (Comodo) sertifikatlashtirish idorasi sertifikatlarini o'zaro imzolash uchun ishlatiladigan AddTrust sertifikati eskirganidan keyin paydo bo'ldi. Muammoning mohiyati shundaki, OpenSSL sertifikatni chiziqli zanjir sifatida tahlil qildi, RFC 4158 ga ko'ra, sertifikat e'tiborga olinishi kerak bo'lgan bir nechta ishonchli langarlarga ega bo'lgan yo'naltirilgan taqsimlangan dumaloq grafikni ko'rsatishi mumkin.
OpenSSL 1.0.2 asosidagi eski tarqatish foydalanuvchilariga muammoni hal qilish uchun uchta vaqtinchalik yechim taklif etiladi:
- IdenTrust DST Root CA X3 ildiz sertifikatini qoʻlda olib tashladi va mustaqil (oʻzaro imzolanmagan) ISRG Root X1 ildiz sertifikatini oʻrnatdi.
- Openssl verify va s_client buyruqlarini ishga tushirishda siz “-trusted_first” opsiyasini belgilashingiz mumkin.
- Serverda o'zaro imzoga ega bo'lmagan SRG Root X1 alohida ildiz sertifikati bilan tasdiqlangan sertifikatdan foydalaning. Ushbu usul eski Android mijozlari bilan moslikni yo'qotishiga olib keladi.
Bundan tashqari, shuni ta'kidlashimiz mumkinki, Let's Encrypt loyihasi ikki milliard ishlab chiqarilgan sertifikatlar bosqichini engib o'tdi. Bir milliard marraga o‘tgan yilning fevral oyida erishilgan edi. Har kuni 2.2-2.4 million yangi sertifikatlar yaratiladi. Faol sertifikatlar soni 192 millionni tashkil etadi (sertifikat uch oy davomida amal qiladi) va taxminan 260 million domenni qamrab oladi (195 million domen bir yil avval, 150 million ikki yil avval, 60 million uch yil avval qamrab olingan). Firefox Telemetry xizmatining statistik ma'lumotlariga ko'ra, HTTPS orqali sahifa so'rovlarining global ulushi 82% (bir yil oldin - 81%, ikki yil oldin - 77%, uch yil oldin - 69%, to'rt yil oldin - 58%).
Manba: opennet.ru