Fun ẹrọ aṣawakiri kan lati jẹrisi oju opo wẹẹbu kan, o ṣafihan ararẹ pẹlu ẹwọn ijẹrisi to wulo. Pq aṣoju kan han loke, ati pe o le jẹ diẹ ẹ sii ju ọkan ijẹrisi agbedemeji lọ. Nọmba ti o kere julọ ti awọn iwe-ẹri ninu ẹwọn to wulo jẹ mẹta.
Ijẹrisi gbongbo jẹ ọkan ti aṣẹ ijẹrisi naa. O jẹ itumọ ọrọ gangan sinu OS tabi ẹrọ aṣawakiri rẹ, o wa ni ti ara lori ẹrọ rẹ. Ko le yipada lati ẹgbẹ olupin. Imudojuiwọn fi agbara mu ti OS tabi famuwia lori ẹrọ naa ni a nilo.
Aabo Specialist Scott Helme , pe awọn iṣoro akọkọ yoo dide pẹlu aṣẹ ijẹrisi Jẹ ki Encrypt, nitori loni o jẹ CA olokiki julọ lori Intanẹẹti, ati pe ijẹrisi gbongbo rẹ yoo buru. Yiyipada awọn Jẹ ká Encrypt root .
Ipari ati awọn iwe-ẹri agbedemeji ti aṣẹ iwe-ẹri (CA) ti wa ni jiṣẹ si alabara lati ọdọ olupin, ati pe ijẹrisi gbongbo wa lati ọdọ alabara. ti tẹlẹ, nitorinaa pẹlu akojọpọ awọn iwe-ẹri ọkan le kọ ẹwọn kan ati jẹrisi oju opo wẹẹbu kan.
Iṣoro naa ni pe ijẹrisi kọọkan ni ọjọ ipari, lẹhin eyi o nilo lati paarọ rẹ. Fun apẹẹrẹ, lati Oṣu Kẹsan Ọjọ 1, Ọdun 2020, wọn gbero lati ṣafihan aropin kan lori akoko ifọwọsi ti awọn iwe-ẹri TLS olupin ni aṣawakiri Safari. .
Eyi tumọ si pe gbogbo wa yoo ni lati rọpo awọn iwe-ẹri olupin wa o kere ju ni gbogbo oṣu 12. Ihamọ yii kan si awọn iwe-ẹri olupin nikan; o kii ṣe kan si awọn iwe-ẹri CA root.
Awọn iwe-ẹri CA jẹ iṣakoso nipasẹ eto ofin ti o yatọ ati nitorinaa ni awọn opin iwulo oriṣiriṣi. O jẹ wọpọ pupọ lati wa awọn iwe-ẹri agbedemeji pẹlu akoko ifọwọsi ti awọn ọdun 5 ati awọn iwe-ẹri root pẹlu igbesi aye iṣẹ ti paapaa ọdun 25!
Nigbagbogbo ko si awọn iṣoro pẹlu awọn iwe-ẹri agbedemeji, nitori wọn ti pese si alabara nipasẹ olupin, eyiti funrararẹ yipada ijẹrisi tirẹ ni igbagbogbo, nitorinaa o rọrun rọpo agbedemeji laarin ilana naa. O rọrun pupọ lati rọpo rẹ pẹlu ijẹrisi olupin, ko dabi ijẹrisi CA root.
Gẹgẹbi a ti sọ tẹlẹ, root CA ti wa ni itumọ taara sinu ẹrọ alabara funrararẹ, sinu OS, ẹrọ aṣawakiri tabi sọfitiwia miiran. Yiyipada root CA kọja iṣakoso oju opo wẹẹbu naa. Eyi nilo imudojuiwọn lori alabara, jẹ OS tabi imudojuiwọn sọfitiwia.
Diẹ ninu awọn CA ti wa ni ayika fun igba pipẹ, a n sọrọ nipa ọdun 20-25. Laipẹ diẹ ninu awọn CAs ti atijọ julọ yoo sunmọ opin igbesi aye wọn, akoko wọn ti fẹrẹ to. Fun pupọ julọ wa eyi kii yoo jẹ iṣoro rara nitori awọn CA ti ṣẹda awọn iwe-ẹri root tuntun ati pe wọn ti pin kaakiri agbaye ni OS ati awọn imudojuiwọn aṣawakiri fun ọpọlọpọ ọdun. Ṣugbọn ti ẹnikan ko ba ṣe imudojuiwọn OS tabi ẹrọ aṣawakiri wọn ni igba pipẹ pupọ, o jẹ iru iṣoro kan.
Ipo yii waye ni Oṣu Karun ọjọ 30, Ọdun 2020 ni 10:48:38 GMT. Eyi ni akoko gangan nigbati lati aṣẹ ijẹrisi Comodo (Sectigo).
O jẹ lilo fun wíwọlé-agbelebu lati rii daju ibamu pẹlu awọn ẹrọ ti o jẹ julọ ti ko ni ijẹrisi root USERTrust tuntun ni ile itaja wọn.
Laanu, awọn iṣoro dide kii ṣe ni awọn aṣawakiri julọ nikan, ṣugbọn tun ni awọn alabara ti kii ṣe aṣawakiri ti o da lori OpenSSL 1.0.x, LibreSSL ati . Fun apẹẹrẹ, ninu awọn apoti ṣeto-oke , iṣẹ , ni Fortinet, Awọn ohun elo Chargify, lori ipilẹ NET Core 2.0 fun Lainos ati .
O ti ro pe iṣoro naa yoo kan awọn ọna ṣiṣe pataki nikan (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, ati bẹbẹ lọ), nitori awọn aṣawakiri ode oni le lo ijẹrisi gbongbo USERTRust keji. Ṣugbọn ni otitọ, awọn ikuna bẹrẹ ni awọn ọgọọgọrun awọn iṣẹ wẹẹbu ti o lo OpenSSL 1.0.x ati awọn ile-ikawe GnuTLS ọfẹ. Asopọ to ni aabo ko le fi idi mulẹ mọ pẹlu ifiranṣẹ aṣiṣe kan ti o nfihan pe ijẹrisi naa ti lọ.
Next - Jẹ ká Encrypt
Apẹẹrẹ miiran ti o dara ti iyipada CA root ti n bọ ni aṣẹ ijẹrisi Jẹ ki a Encrypt. Die e sii wọn gbero lati yipada lati ẹwọn Identrust si ẹwọn ISRG Root tiwọn, ṣugbọn eyi .
“Nitori awọn ifiyesi nipa aini isọdọmọ ti root ISRG lori awọn ẹrọ Android, a ti pinnu lati gbe ọjọ iyipada gbongbo abinibi lati Oṣu Keje ọjọ 8, Ọdun 2019 si Oṣu Keje Ọjọ 8, Ọdun 2020,” Jẹ ki Encrypt sọ ninu ọrọ kan.
Ọjọ naa ni lati sun siwaju nitori iṣoro kan ti a pe ni “itankale gbongbo”, tabi diẹ sii ni deede, aini ti itankale gbongbo, nigbati root CA ko ba pin kaakiri jakejado gbogbo awọn alabara.
Jẹ ki a Encrypt lọwọlọwọ nlo ijẹrisi agbedemeji ti o fowo si agbelebu ti a so pọ si IdenTrust DST Root CA X3. Ijẹrisi root yii ti jade ni Oṣu Kẹsan ọdun 2000 ati pe o pari ni Oṣu Kẹsan Ọjọ 30, Ọdun 2021. Titi di igba naa, Jẹ ki a Encrypt awọn ero lati jade lọ si ISRG Gbongbo X1 ti ara ẹni ti ara rẹ.
root ISRG ti tu silẹ ni Oṣu Kẹfa ọjọ 4, Ọdun 2015. Lẹhin eyi, ilana ti ifọwọsi rẹ bi aṣẹ iwe-ẹri bẹrẹ, eyiti o pari . Lati aaye yii lọ, root CA wa si gbogbo awọn alabara nipasẹ ẹrọ ṣiṣe tabi imudojuiwọn sọfitiwia. Gbogbo ohun ti o ni lati ṣe ni fi imudojuiwọn naa sori ẹrọ.
Ṣugbọn iyẹn ni iṣoro naa.
Ti foonu alagbeka rẹ, TV tabi ẹrọ miiran ko ba ti ni imudojuiwọn fun ọdun meji, bawo ni yoo ṣe mọ nipa ijẹrisi root root X1 ISRG tuntun? Ati pe ti o ko ba fi sii sori ẹrọ naa, lẹhinna ẹrọ rẹ yoo sọ gbogbo awọn iwe-ẹri olupin Encrypt jẹ ki a sọ di mimọ ni kete ti Jẹ ki Encrypt yipada si gbongbo tuntun kan. Ati ninu ilolupo Android ọpọlọpọ awọn ẹrọ igba atijọ ti ko ti ni imudojuiwọn fun igba pipẹ.
Android ilolupo
Eyi ni idi ti Jẹ ki a Encrypt ṣe idaduro gbigbe si gbongbo ISRG tirẹ ati tun nlo agbedemeji ti o sọkalẹ lọ si gbongbo IdenTrust. Ṣugbọn iyipada yoo ni lati ṣe ni eyikeyi ọran. Ati awọn ọjọ ti root iyipada ti wa ni sọtọ .
Lati ṣayẹwo pe ISRG X1 root ti fi sori ẹrọ lori ẹrọ rẹ (TV, apoti ṣeto-oke tabi alabara miiran), ṣii aaye idanwo naa . Ti ko ba si ikilọ aabo, lẹhinna ohun gbogbo nigbagbogbo dara.
Jẹ ki a Encrypt kii ṣe ọkan nikan ti o dojukọ ipenija ti gbigbe si gbongbo tuntun kan. Cryptography lori Intanẹẹti bẹrẹ lati ṣee lo ni ọdun 20 sẹhin, nitorinaa ni akoko ti ọpọlọpọ awọn iwe-ẹri gbongbo ti fẹrẹ pari.
Awọn oniwun ti awọn TV smart ti ko ṣe imudojuiwọn sọfitiwia Smart TV fun ọpọlọpọ ọdun le ba pade iṣoro yii. Fun apẹẹrẹ, GlobalSign root tuntun a ti tu ni 2012, ati lẹhin diẹ ninu awọn atijọ Smart TVs ko le kọ kan pq si o, nitori nwọn nìkan ko ni yi root CA. Ni pataki, awọn alabara wọnyi ko lagbara lati fi idi asopọ to ni aabo si oju opo wẹẹbu bbc.co.uk. Lati yanju iṣoro naa, awọn alakoso BBC ni lati lo ẹtan: wọn nipasẹ awọn iwe-ẹri agbedemeji afikun, lilo awọn gbongbo atijọ и , tí kò tíì jófòfò.
www.bbc.co.uk (Ewe) GlobalSign ECC OV SSL CA 2018 (Agbedemeji) GlobalSign Root CA - R5 (Agbedemeji) GlobalSign Root CA - R3 (Agbedemeji)
Eyi jẹ ojutu igba diẹ. Iṣoro naa kii yoo lọ ayafi ti o ba ṣe imudojuiwọn sọfitiwia alabara. TV smati jẹ pataki kọnputa iṣẹ ṣiṣe lopin ti nṣiṣẹ Linux. Ati laisi awọn imudojuiwọn, awọn iwe-ẹri gbongbo rẹ yoo di ibajẹ laiṣe.
Eyi kan si gbogbo awọn ẹrọ, kii ṣe awọn TV nikan. Ti o ba ni ẹrọ eyikeyi ti o ni asopọ si Intanẹẹti ati pe o ti ṣe ipolowo bi ẹrọ “ọlọgbọn”, lẹhinna iṣoro pẹlu awọn iwe-ẹri ibajẹ fẹrẹẹ kan rẹ. Ti ẹrọ naa ko ba ni imudojuiwọn, ile itaja CA root yoo di igba atijọ lori akoko ati nikẹhin iṣoro naa yoo dada. Bawo ni kete ti iṣoro naa yoo waye da lori igba ti ile itaja gbongbo ti ni imudojuiwọn kẹhin. Eyi le jẹ ọdun pupọ ṣaaju ọjọ idasilẹ gangan ti ẹrọ naa.
Nipa ọna, eyi ni iṣoro idi ti diẹ ninu awọn iru ẹrọ media nla ko le lo awọn alaṣẹ ijẹrisi adaṣe adaṣe ode oni bii Jẹ ki Encrypt, Scott Helme kọwe. Wọn ko dara fun awọn TV ti o gbọn, ati pe nọmba awọn gbongbo ti kere ju lati ṣe iṣeduro atilẹyin ijẹrisi lori awọn ẹrọ pataki. Bibẹẹkọ, TV nìkan kii yoo ni anfani lati ṣe ifilọlẹ awọn iṣẹ ṣiṣanwọle ode oni.
Iṣẹlẹ tuntun pẹlu AddTrust fihan pe paapaa awọn ile-iṣẹ IT nla ko pese fun otitọ pe ijẹrisi root dopin.
Ojutu kan nikan wa si iṣoro naa - imudojuiwọn. Awọn olupilẹṣẹ ti awọn ẹrọ smati gbọdọ pese ẹrọ kan fun imudojuiwọn sọfitiwia ati awọn iwe-ẹri root ni ilosiwaju. Ni apa keji, kii ṣe ere fun awọn aṣelọpọ lati rii daju iṣẹ ti awọn ẹrọ wọn lẹhin akoko atilẹyin ọja pari.
orisun: www.habr.com