اليوم ، 30 أيلول (سبتمبر) انتهت صلاحية شهادة جذر IdenTrust وهي تلك الشهادة تم استخدامه لتوقيع شهادة Let's Encrypt (ISRG Root X1)يسيطر عليها المجتمع ويقدم شهادات مجانية للجميع.
ضمنت الشركة ثقة شهادات Let's Encrypt على مجموعة واسعة من الأجهزة وأنظمة التشغيل والمتصفحات أثناء دمج الشهادة الجذرية الخاصة بـ Let's Encrypt في متاجر الشهادات الجذرية.
كان من المخطط أصلاً أنه بعد DST Root CA X3 أصبح قديمًا ، مشروع Let's Encrypt سوف يتحول إلى إنشاء التوقيعات باستخدام شهادتك فقط ، ولكن مثل هذه الخطوة ستؤدي إلى فقدان التوافق مع الكثير من الأنظمة القديمة التي لم تفعل ذلك. على وجه الخصوص ، لا تحتوي حوالي 30٪ من أجهزة Android المستخدمة على بيانات على شهادة Let's Encrypt الجذر ، والتي ظهر دعمها فقط اعتبارًا من نظام Android 7.1.1 ، الذي تم إصداره في نهاية عام 2016.
لم تخطط Let's Encrypt للدخول في اتفاقية توقيع متبادل جديدة ، لأن هذا يفرض مسؤولية إضافية على أطراف الاتفاقية ، ويحرمهم من الاستقلال ويقيد أيديهم في الامتثال لجميع الإجراءات والقواعد لسلطة أخرى من التصديق.
ولكن نظرًا لوجود مشكلات محتملة على عدد كبير من أجهزة Android ، تمت مراجعة الخطة. تم توقيع اتفاقية جديدة مع المرجع المصدق IdenTrust ، والذي تم بموجبه إنشاء شهادة وسيطة موقعة عبر Let's Encrypt. سيكون التوقيع المتقاطع صالحًا لمدة ثلاث سنوات وسيظل متوافقًا مع أجهزة Android من الإصدار 2.3.6.
ومع ذلك، لا تغطي الشهادة المتوسطة الجديدة العديد من الأنظمة القديمة الأخرى. على سبيل المثال ، بعد انتهاء صلاحية شهادة DST Root CA X3 (اليوم 30 سبتمبر) ، لن يتم قبول شهادات Let's Encrypt على البرامج الثابتة وأنظمة التشغيل غير المدعومة ، والتي لضمان الثقة في شهادات Let's Encrypt ، ستحتاج إلى إضافة جذر ISRG. شهادة X1 لمخزن الشهادات الجذر. سوف تظهر المشاكل في:
OpenSSL حتى الفرع 1.0.2 شاملاً (تم إيقاف صيانة الفرع 1.0.2 في ديسمبر 2019) ؛
- NSS <3,26
- جافا 8 <8u141 ، جافا 7 <7u151
- شبابيك
- macOS <10.12.1
- iOS <10 (iPhone <5)
- أندرويد <2.3.6
- Mozilla Firefox <50
- أوبونتو <16.04
- دبيان <8
في حالة OpenSSL 1.0.2 ، المشكلة ناتجة عن خطأ يمنع المعالجة الصحيحة للشهادات التوقيع المشترك إذا انتهت صلاحية إحدى شهادات الجذر المتضمنة في التوقيع ، على الرغم من الاحتفاظ بسلاسل الثقة الصالحة الأخرى.
المشكلة ظهرت لأول مرة العام الماضي بعد انتهاء صلاحية شهادة AddTrust تستخدم للتوقيع المتبادل في شهادات سلطة تصديق Sectigo (Comodo). جوهر المشكلة هو أن OpenSSL قام بتحليل الشهادة كسلسلة خطية ، بينما وفقًا لـ RFC 4158 ، يمكن أن تمثل الشهادة مخططًا دائريًا موزعًا موجهًا مع العديد من كيانات الثقة التي يجب أخذها في الاعتبار.
يتم تقديم ثلاثة حلول لمستخدمي التوزيعات القديمة القائمة على OpenSSL 1.0.2 لحل المشكلة:
- قم يدويًا بإزالة الشهادة الجذر IdenTrust DST Root CA X3 وتثبيت شهادة جذر ISRG Root X1 المستقلة (بدون توقيع متقاطع).
- حدد الخيار "–trusted_first" عند تشغيل أوامر التحقق من openssl وأوامر s_client.
- استخدم شهادة على الخادم تم اعتمادها من خلال شهادة الجذر SRG Root X1 المستقلة غير الموقعة عبر التوقيع (يوفر Let's Encrypt خيارًا لطلب مثل هذه الشهادة). ستؤدي هذه الطريقة إلى فقدان التوافق مع عملاء Android القدامى.
بالإضافة إلى ذلك ، اجتاز مشروع Let's Encrypt المعلم المتمثل في إنشاء ملياري شهادة. تم الوصول إلى المليار في فبراير من العام الماضي. يتم إنشاء 2,2-2,4 مليون شهادة جديدة كل يوم. عدد الشهادات النشطة هو 192 مليون (الشهادة صالحة لمدة ثلاثة أشهر) وتغطي حوالي 260 مليون نطاق (قبل عام كانت تغطي 195 مليون نطاق ، قبل عامين - 150 مليونًا ، قبل ثلاث سنوات - 60 مليونًا).
وفقًا لإحصاءات خدمة القياس عن بُعد في Firefox ، تبلغ الحصة العالمية لطلبات الصفحة عبر HTTPS 82٪ (منذ عام واحد - 81٪ ، قبل عامين - 77٪ ، قبل ثلاث سنوات - 69٪ ، قبل أربع سنوات - 58٪).
مصدر: https://scotthelme.co.uk/