લેટ્સ એન્ક્રિપ્ટ સર્ટિફિકેટને કારણે આ એવા ઉપકરણો છે જેણે ઇન્ટરનેટની ક્સેસ બંધ કરી દીધી છે

આજે, 30 સપ્ટેમ્બર, IdenTrust રુટ પ્રમાણપત્ર જીવનકાળ સમાપ્ત અને તે આ પ્રમાણપત્ર છે લેટ્સ એન્ક્રિપ્ટ સર્ટિફિકેટ (ISRG રુટ X1) પર સહી કરવા માટે ઉપયોગ કરવામાં આવ્યો હતો., સમુદાય દ્વારા નિયંત્રિત અને બધાને મફતમાં પ્રમાણપત્રો પ્રદાન કરે છે.

લેટ્સ એન્ક્રિપ્ટનું પોતાનું રુટ સર્ટિફિકેટ રૂટ સર્ટિફિકેટ સ્ટોર્સમાં એકીકૃત કરતી વખતે પે firmીએ લેટ્સ એન્ક્રિપ્ટ સર્ટિફિકેટ્સનો વિશાળ શ્રેણી, ઓપરેટિંગ સિસ્ટમ અને બ્રાઉઝર્સ પર વિશ્વાસ સુનિશ્ચિત કર્યો.

મૂળરૂપે એવું આયોજન કરવામાં આવ્યું હતું કે DST રુટ CA X3 જૂનું થયા પછી, લેટ્સ એન્ક્રિપ્ટ પ્રોજેક્ટ તે ફક્ત તમારા પ્રમાણપત્રનો ઉપયોગ કરીને હસ્તાક્ષર જનરેટ કરવા પર સ્વિચ કરશે, પરંતુ આવા પગલાથી સુસંગતતા ગુમાવવી પડશે ઘણી જૂની સિસ્ટમો સાથે જે ન હતી. ખાસ કરીને, ઉપયોગમાં લેવાતા લગભગ 30% એન્ડ્રોઇડ ડિવાઇસ પાસે લેટ્સ એન્ક્રિપ્ટ રૂટ સર્ટિફિકેટ પર ડેટા નથી, જેનો આધાર માત્ર એન્ડ્રોઇડ 7.1.1 પ્લેટફોર્મ તરીકે જ દેખાયો, જે 2016 ના અંતમાં રિલીઝ થયો હતો.

લેટ્સ એન્ક્રિપ્ટે નવા ક્રોસ-સહી કરારમાં પ્રવેશવાની યોજના બનાવી ન હતી, કારણ કે આ કરાર માટે પક્ષો પર વધારાની જવાબદારી લાદે છે, તેમને સ્વતંત્રતા વંચિત કરે છે અને પ્રમાણપત્રની અન્ય સત્તાની તમામ પ્રક્રિયાઓ અને નિયમોનું પાલન કરવામાં તેમના હાથ જોડે છે.

પરંતુ મોટી સંખ્યામાં એન્ડ્રોઇડ ઉપકરણો પર સંભવિત સમસ્યાઓના કારણે, યોજનામાં સુધારો કરવામાં આવ્યો. સર્ટિફિકેશન ઓથોરિટી IdenTrust સાથે એક નવો કરાર કરવામાં આવ્યો હતો, જે અંતર્ગત વૈકલ્પિક લેટ્સ એન્ક્રિપ્ટ ઇન્ટરમીડિયેટ ક્રોસ-સહી પ્રમાણપત્ર બનાવવામાં આવ્યું હતું. ક્રોસ સિગ્નેચર ત્રણ વર્ષ માટે માન્ય રહેશે અને 2.3.6 વર્ઝનથી એન્ડ્રોઇડ ડિવાઇસ સાથે સુસંગત રહેશે.

જો કે, નવું મધ્યવર્તી પ્રમાણપત્ર અન્ય ઘણી વારસાગત સિસ્ટમોને આવરી લેતું નથી. ઉદાહરણ તરીકે, DST રુટ CA X3 સર્ટિફિકેટ સમાપ્ત થયા પછી (આજે 30 સપ્ટેમ્બર), લેટ્સ એન્ક્રિપ્ટ સર્ટિફિકેટ હવે અસમર્થિત ફર્મવેર અને ઓપરેટિંગ સિસ્ટમ્સ પર સ્વીકારવામાં આવશે નહીં, જેમાં લેટ્સ એન્ક્રિપ્ટ સર્ટિફિકેટ્સમાં વિશ્વાસ સુનિશ્ચિત કરવા માટે, તમારે મેન્યુઅલી ઉમેરવાની જરૂર પડશે. ISRG રુટ. રુટ સર્ટિફિકેટ સ્ટોર માટે X1 પ્રમાણપત્ર. સમસ્યાઓ પોતાને પ્રગટ કરશે:

શાખા 1.0.2 સુધી અને તે સહિત OpenSSL (ડિસેમ્બર 1.0.2 માં શાખા 2019 ની જાળવણી બંધ કરવામાં આવી હતી);

• NSS <3,26
• જાવા 8 <8u141, જાવા 7 <7u151
• વિન્ડોઝ
• macOS <10.12.1
• iOS <10 (iPhone <5)
• એન્ડ્રોઇડ <2.3.6
• મોઝિલા ફાયરફોક્સ <50
• ઉબુન્ટુ <16.04
• ડેબિયન <8

OpenSSL 1.0.2 ના કિસ્સામાં, સમસ્યા એ ભૂલને કારણે થાય છે જે પ્રમાણપત્રોના યોગ્ય સંચાલનને અટકાવે છે હસ્તાક્ષરમાં સામેલ રૂટ સર્ટિફિકેટ્સમાંથી એક સમાપ્ત થાય તો ક્રોસ-સહી થયેલ છે, જો કે ટ્રસ્ટની અન્ય માન્ય સાંકળો સચવાયેલી છે.

સમસ્યા Tડટ્રસ્ટ સર્ટિફિકેટની સમાપ્તિ પછી ગયા વર્ષે પ્રથમ ઉભરી આવી હતી સેક્ટીગો (કોમોડો) સર્ટિફિકેટ ઓથોરિટીના પ્રમાણપત્રમાં ક્રોસ-સાઇનિંગ માટે વપરાય છે. સમસ્યાનું હૃદય એ છે કે OpenSSL એ પ્રમાણપત્રને રેખીય સાંકળ તરીકે વિશ્લેષિત કર્યું, જ્યારે RFC 4158 મુજબ, પ્રમાણપત્ર વિવિધ ટ્રસ્ટ એન્કર સાથે નિર્દેશિત વિતરણ પાઇ ચાર્ટને રજૂ કરી શકે છે જેને ધ્યાનમાં લેવાની જરૂર છે.

OpenSSL 1.0.2 પર આધારિત જૂની ડિસ્ટ્રીબ્યુશનના વપરાશકર્તાઓને સમસ્યા હલ કરવા માટે ત્રણ ઉકેલો આપવામાં આવે છે:

• IdenTrust DST Root CA X3 રુટ સર્ટિફિકેટને મેન્યુઅલી દૂર કરો અને એકલ ISRG Root X1 રુટ સર્ટિફિકેટ ઇન્સ્ટોલ કરો (કોઈ ક્રોસ સહી નથી).
• Openssl verify અને s_client આદેશો ચલાવતી વખતે "rusttrusted_first" વિકલ્પ સ્પષ્ટ કરો.
• સર્વર પર પ્રમાણપત્રનો ઉપયોગ કરો કે જે એકલ SRG રુટ X1 રુટ પ્રમાણપત્ર દ્વારા પ્રમાણિત છે જે ક્રોસ-સહી નથી (લેટ્સ એન્ક્રિપ્ટ આવા પ્રમાણપત્રની વિનંતી કરવાનો વિકલ્પ આપે છે). આ પદ્ધતિ જૂના એન્ડ્રોઇડ ક્લાયન્ટ્સ સાથે સુસંગતતા ગુમાવશે.

આ ઉપરાંત, લેટ્સ એન્ક્રિપ્ટ પ્રોજેક્ટ જનરેટ થયેલા બે અબજ પ્રમાણપત્રોનો સીમાચિહ્ન પાર કરી ગયો છે. ગયા વર્ષના ફેબ્રુઆરીમાં એક અબજ સીમાચિહ્ન પાર થયું હતું. દરરોજ 2,2-2,4 મિલિયન નવા પ્રમાણપત્રો જનરેટ થાય છે. સક્રિય પ્રમાણપત્રોની સંખ્યા 192 મિલિયન છે (પ્રમાણપત્ર ત્રણ મહિના માટે માન્ય છે) અને લગભગ 260 મિલિયન ડોમેન્સને આવરી લે છે (એક વર્ષ પહેલા તે 195 મિલિયન ડોમેનને આવરી લે છે, બે વર્ષ પહેલા - 150 મિલિયન, ત્રણ વર્ષ પહેલા - 60 મિલિયન).

ફાયરફોક્સ ટેલિમેટ્રી સર્વિસના આંકડા મુજબ, HTTPS પર પૃષ્ઠ વિનંતીઓનો વૈશ્વિક હિસ્સો 82%છે (એક વર્ષ પહેલા - 81%, બે વર્ષ પહેલા - 77%, ત્રણ વર્ષ પહેલા - 69%, ચાર વર્ષ પહેલા - 58%).

સ્રોત: https://scotthelme.co.uk/