Let's Encrypt 인증서로 인해 인터넷 액세스가 중지된 장치입니다.

Darkcrizt

4 분

30월 XNUMX일 오늘, IdenTrust 루트 인증서 수명 만료됨 그리고 이 인증서는 Let's Encrypt 인증서(ISRG 루트 X1)에 서명하는 데 사용되었습니다., 커뮤니티에서 관리하고 모두에게 무료로 인증서를 제공합니다.

이 회사는 Let's Encrypt의 자체 루트 인증서를 루트 인증서 저장소에 통합하면서 광범위한 장치, 운영 체제 및 브라우저에서 Let's Encrypt 인증서의 신뢰를 보장했습니다.

원래 DST Root CA X3가 만료된 후, Let's Encrypt 프로젝트 인증서만 사용하여 서명 생성으로 전환되지만 이러한 단계는 호환성 손실로 이어질 것입니다. 그렇지 않은 오래된 시스템이 많이 있습니다. 특히 사용 중인 안드로이드 기기의 약 30%는 7.1.1년 말 출시된 안드로이드 2016 플랫폼에서만 지원되는 Let's Encrypt 루트 인증서에 데이터가 없다.

Let's Encrypt는 새로운 교차 서명 계약을 체결할 계획이 아니었습니다. 이는 계약 당사자에게 추가 책임을 부과하고, 독립성을 박탈하고, 인증에서 다른 기관의 모든 절차와 규칙을 준수하는 데 손을 묶기 때문입니다.

그러나 많은 수의 Android 기기에서 발생할 수 있는 문제로 인해 계획이 수정되었습니다. 대체 Let's Encrypt 중간 교차 서명 인증서가 생성된 인증 기관 IdenTrust와 새로운 계약이 체결되었습니다. 교차 서명은 2.3.6년 동안 유효하며 버전 XNUMX부터 Android 기기와 계속 호환됩니다.

그러나, 새로운 중간 인증서는 다른 많은 레거시 시스템을 다루지 않습니다. 예를 들어 DST 루트 CA X3 인증서가 만료된 후(오늘 30월 1일) Let's Encrypt 인증서는 지원되지 않는 펌웨어 및 운영 체제에서 더 이상 허용되지 않습니다. 여기서 Let's Encrypt 인증서에 대한 신뢰를 보장하려면 수동으로 추가해야 합니다. ISRG 루트. 루트 인증서 저장소에 대한 XXNUMX 인증서. 문제는 다음과 같이 나타납니다.

OpenSSL 분기 1.0.2(분기 1.0.2 유지 관리는 2019년 XNUMX월에 중단됨);

  • NSS <3,26
  • 자바 8 <8u141, 자바 7 <7u151
  • macOS <10.12.1
  • iOS <10(iPhone <5)
  • 안드로이드 <2.3.6
  • 모질라 파이어폭스 <50
  • 우분투 <16.04
  • 데비안 <8

OpenSSL 1.0.2의 경우, 문제는 인증서의 올바른 처리를 방해하는 오류로 인해 발생합니다. 다른 유효한 신뢰 체인은 보존되지만 서명과 관련된 루트 인증서 중 하나가 만료되면 교차 서명됩니다.

문제 작년 AddTrust 인증서 만료 후 처음 등장 Sectigo(Comodo) 인증 기관의 인증서 교차 서명에 사용됩니다. 문제의 핵심은 OpenSSL이 인증서를 선형 체인으로 구문 분석한 반면, RFC 4158에 따르면 인증서는 고려해야 할 다양한 트러스트 앵커가 있는 방향성 분산 파이 차트를 나타낼 수 있다는 것입니다.

OpenSSL 1.0.2를 기반으로 하는 이전 배포판의 사용자에게는 문제를 해결하기 위한 세 가지 솔루션이 제공됩니다.

  • IdenTrust DST 루트 CA X3 루트 인증서를 수동으로 제거하고 독립 실행형 ISRG 루트 X1 루트 인증서를 설치합니다(교차 서명 없음).
  • openssl verify 및 s_client 명령을 실행할 때 "–trusted_first" 옵션을 지정합니다.
  • 교차 서명되지 않은 독립 실행형 SRG Root X1 루트 인증서로 인증된 서버의 인증서를 사용하십시오(Let's Encrypt는 이러한 인증서를 요청할 수 있는 옵션을 제공합니다). 이 방법을 사용하면 이전 Android 클라이언트와의 호환성이 손실됩니다.

또한 Let's Encrypt 프로젝트는 2,2억 개의 인증서 생성이라는 이정표를 통과했습니다. 지난해 2,4월 192억 돌파를 눈앞에 두고 있다. 매일 260만~195만 개의 새로운 인증서가 생성됩니다. 활성 인증서의 수는 150억 60만 개(인증서의 유효 기간은 XNUMX개월)이며 약 XNUMX억 XNUMX만 개의 도메인을 포함합니다(XNUMX년 전 XNUMX억 XNUMX만 개의 도메인, XNUMX년 전 - XNUMX억 XNUMX만 개, XNUMX년 전 - XNUMX만 개).

Firefox Telemetry 서비스의 통계에 따르면 HTTPS를 통한 페이지 요청의 글로벌 점유율은 82%(81년 전 - 77%, 69년 전 - 58%, XNUMX년 전 - XNUMX%, XNUMX년 전 - XNUMX%)입니다.

출처 : https://scotthelme.co.uk/


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자: AB Internet Networks 2008 SL
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.