Ni Oṣu Kẹsan ọjọ 30 ni 17:01 Moscow akoko, ijẹrisi root IdenTrust (DST Root CA X3), eyiti a lo lati ṣe agbelebu-fọwọsi ijẹrisi root ti aṣẹ ijẹrisi Let's Encrypt (ISRG Root X1), eyiti agbegbe ati iṣakoso pese awọn iwe-ẹri ọfẹ fun gbogbo eniyan, pari. Ibuwọlu agbelebu ṣe idaniloju pe Jẹ ki a Encrypt awọn iwe-ẹri ni igbẹkẹle jakejado awọn ẹrọ lọpọlọpọ, awọn ọna ṣiṣe, ati awọn aṣawakiri lakoko ti Jẹ ki Encrypt ti ijẹrisi root tirẹ ti ṣepọ sinu awọn ile itaja ijẹrisi root.
O ti pinnu ni akọkọ pe lẹhin idinku ti DST Root CA X3, iṣẹ akanṣe Let's Encrypt yoo yipada si ṣiṣẹda awọn ibuwọlu nipa lilo ijẹrisi gbongbo rẹ nikan, ṣugbọn iru gbigbe kan yoo ja si isonu ti ibamu pẹlu nọmba nla ti awọn eto agbalagba ti ko ṣe. ṣafikun ijẹrisi root Jẹ ki a Encrypt si awọn ibi ipamọ wọn. Ni pataki, isunmọ 30% ti awọn ẹrọ Android ti o wa ni lilo ko ni data lori ijẹrisi root Jẹ ki Encrypt, atilẹyin eyiti o han nikan ti o bẹrẹ pẹlu pẹpẹ Android 7.1.1, ti a tu silẹ ni opin ọdun 2016.
Jẹ ki a Encrypt ko gbero lati tẹ sinu adehun ibuwọlu agbelebu tuntun, nitori eyi n fa ojuse afikun si awọn ẹgbẹ si adehun naa, npa wọn ni ominira ati di ọwọ wọn ni awọn ofin ti ibamu pẹlu gbogbo awọn ilana ati awọn ofin ti aṣẹ iwe-ẹri miiran. Ṣugbọn nitori awọn iṣoro ti o pọju lori nọmba nla ti awọn ẹrọ Android, a tunwo ero naa. Adehun tuntun kan ti pari pẹlu aṣẹ iwe-ẹri IdenTrust, laarin ilana eyiti eyiti ami-agbelebu omiiran miiran Jẹ ki a Encrypt ijẹrisi agbedemeji ti ṣẹda. Ibuwọlu agbelebu yoo wulo fun ọdun mẹta ati pe yoo ṣetọju atilẹyin fun awọn ẹrọ Android ti o bẹrẹ pẹlu ẹya 2.3.6.
Bibẹẹkọ, ijẹrisi agbedemeji tuntun naa ko bo ọpọlọpọ awọn ọna ṣiṣe jumọ miiran. Fun apẹẹrẹ, nigbati ijẹrisi DST Root CA X3 ti yọkuro ni Oṣu Kẹsan Ọjọ 30, Jẹ ki a Encrypt awọn iwe-ẹri ko ni gba lori famuwia ti ko ni atilẹyin ati awọn ọna ṣiṣe ti o nilo pẹlu ọwọ fifi ijẹrisi ISRG Gbongbo X1 si ile itaja ijẹrisi root lati rii daju igbẹkẹle ninu awọn iwe-ẹri Jẹ ki Encrypt . Awọn iṣoro yoo han ni:
- ṢiiSSL titi de ẹka 1.0.2 ifisi (itọju ẹka 1.0.2 ti dawọ duro ni Oṣu kejila ọdun 2019);
- NSS <3.26;
- Java 8 <8u141, Java 7 <7u151;
- Windows <XP SP3;
- macOS <10.12.1;
- iOS <10 (iPhone <5);
- Android <2.3.6;
- Mozilla Firefox <50;
- Ubuntu <16.04;
- Debian <8.
Ninu ọran ti OpenSSL 1.0.2, iṣoro naa jẹ idi nipasẹ kokoro kan ti o ṣe idiwọ awọn iwe-ẹri ti o fowo si agbelebu lati ṣiṣẹ ni deede ti ọkan ninu awọn iwe-ẹri gbongbo ti a lo fun iforukọsilẹ ba pari, paapaa ti awọn ẹwọn ti o wulo miiran ti igbẹkẹle wa. Iṣoro naa kọkọ farahan ni ọdun to kọja lẹhin ijẹrisi AddTrust ti a lo lati kọja awọn iwe-ẹri ami-ami lati aṣẹ ijẹrisi Sectigo (Comodo) di ti atijo. Ohun pataki ti iṣoro naa ni pe OpenSSL ṣe atunto ijẹrisi naa bi pq laini, lakoko ti o jẹ ibamu si RFC 4158, ijẹrisi kan le ṣe aṣoju aworan ipin ipin ti o ni itọsọna pẹlu ọpọlọpọ awọn ìdákọró igbẹkẹle ti o nilo lati ṣe akiyesi.
Awọn olumulo ti awọn ipinpinpin agbalagba ti o da lori OpenSSL 1.0.2 ni a funni ni awọn adaṣe adaṣe mẹta lati yanju iṣoro naa:
- Pẹlu ọwọ kuro ni IdenTrust DST Root CA X3 ijẹrisi root ati fi sii ni imurasilẹ nikan (kii ṣe ami agbelebu) ISRG Gbongbo X1 ijẹrisi root.
- Nigbati o nṣiṣẹ openssl daju ati awọn aṣẹ s_client, o le pato aṣayan "--trusted_first".
- Lo lori olupin iwe-ẹri ti o ni ifọwọsi nipasẹ ijẹrisi gbongbo lọtọ SRG Gbongbo X1, eyiti ko ni ibuwọlu agbelebu. Ọna yii yoo ja si isonu ti ibamu pẹlu awọn alabara Android agbalagba.
Ni afikun, a le ṣe akiyesi pe iṣẹ akanṣe Let's Encrypt ti kọja ibi-iṣẹlẹ ti awọn iwe-ẹri ti ipilẹṣẹ bilionu meji. Ọ̀pọ̀ bílíọ̀nù kan ìṣẹ̀dálẹ̀ náà wáyé ní oṣù February ọdún tó kọjá. 2.2-2.4 million titun awọn iwe-ẹri ti wa ni ipilẹṣẹ ojoojumọ. Nọmba awọn iwe-ẹri ti nṣiṣe lọwọ jẹ 192 million (ijẹrisi kan wulo fun oṣu mẹta) ati ni wiwa nipa awọn ibugbe 260 milionu (awọn ibugbe miliọnu 195 ni a bo ni ọdun kan sẹhin, 150 milionu ọdun meji sẹhin, 60 milionu ọdun mẹta sẹhin). Gẹgẹbi awọn iṣiro lati iṣẹ Firefox Telemetry, ipin agbaye ti awọn ibeere oju-iwe nipasẹ HTTPS jẹ 82% (ọdun kan sẹhin - 81%, ọdun meji sẹhin - 77%, ọdun mẹta sẹhin - 69%, ọdun mẹrin sẹhin - 58%).
orisun: opennet.ru