आज, 30 सप्टेंबर, IdenTrust रूट प्रमाणपत्र आजीवन कालबाह्य झाले आणि हे प्रमाणपत्र आहे लेट्स एन्क्रिप्ट प्रमाणपत्र (ISRG रूट X1) वर स्वाक्षरी करण्यासाठी वापरले गेले., समुदायाद्वारे नियंत्रित आणि सर्वांना विनामूल्य प्रमाणपत्र प्रदान.
लेट्स एन्क्रिप्टचे स्वतःचे मूळ प्रमाणपत्र रूट प्रमाणपत्र स्टोअरमध्ये समाकलित करताना फर्मने लेट्स एनक्रिप्ट प्रमाणपत्रांच्या विस्तृत श्रेणी, ऑपरेटिंग सिस्टीम आणि ब्राउझरवर विश्वास सुनिश्चित केला.
मुळात डीएसटी रूट CA X3 कालबाह्य झाल्याचे नियोजित होते, लेट्स एनक्रिप्ट प्रोजेक्ट हे केवळ आपले प्रमाणपत्र वापरून स्वाक्षरी निर्माण करण्यास स्विच करेल, परंतु अशा चरणामुळे सुसंगतता कमी होईल बर्याच जुन्या सिस्टीमसह जे नाही. विशेषतः, वापरात असलेल्या सुमारे 30% Android डिव्हाइसेसमध्ये लेट्स एन्क्रिप्ट रूट प्रमाणपत्रावर डेटा नाही, ज्याचा आधार केवळ 7.1.1 च्या अखेरीस रिलीझ झालेल्या Android 2016 प्लॅटफॉर्मवर दिसून आला.
लेट्स एन्क्रिप्टने नवीन क्रॉस-सिग्नेचर करार करण्याची योजना आखली नाही, कारण हे करारावर पक्षांवर अतिरिक्त जबाबदारी लादते, त्यांना स्वातंत्र्यापासून वंचित करते आणि प्रमाणपत्राच्या दुसर्या प्राधिकरणाच्या सर्व प्रक्रिया आणि नियमांचे पालन करण्यासाठी त्यांचे हात बांधतात.
परंतु मोठ्या संख्येने अँड्रॉइड डिव्हाइसेसवरील संभाव्य समस्यांमुळे, योजना सुधारित करण्यात आली. प्रमाणन प्राधिकरण IdenTrust सोबत एक नवीन करार करण्यात आला, ज्या अंतर्गत एक पर्यायी लेट्स एनक्रिप्ट इंटरमीडिएट क्रॉस-स्वाक्षरी प्रमाणपत्र तयार करण्यात आले. क्रॉस सिग्नेचर तीन वर्षांसाठी वैध असेल आणि आवृत्ती 2.3.6 पासून Android डिव्हाइसेसशी सुसंगत राहील.
तथापि, नवीन इंटरमीडिएट प्रमाणपत्र इतर अनेक लेगसी सिस्टीम कव्हर करत नाही. उदाहरणार्थ, डीएसटी रूट सीए एक्स 3 प्रमाणपत्र कालबाह्य झाल्यानंतर (आज 30 सप्टेंबर), लेट्स एनक्रिप्ट प्रमाणपत्रे यापुढे असमर्थित फर्मवेअर आणि ऑपरेटिंग सिस्टीमवर स्वीकारली जाणार नाहीत, ज्यात लेट्स एन्क्रिप्ट प्रमाणपत्रांवर विश्वास ठेवण्यासाठी, आपल्याला व्यक्तिचलितपणे जोडावे लागेल. ISRG रूट. X1 प्रमाणपत्र ते मूळ प्रमाणपत्र स्टोअर. समस्या स्वतःमध्ये प्रकट होतील:
शाखा 1.0.2 पर्यंत आणि त्यासह OpenSSL (शाखा 1.0.2 ची देखभाल डिसेंबर 2019 मध्ये बंद करण्यात आली होती);
- एनएसएस <3,26
- जावा 8 <8u141, जावा 7 <7u151
- विंडोज
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- मोझिला फायरफॉक्स <50
- उबंटू <16.04
- डेबियन <8
OpenSSL 1.0.2 च्या बाबतीत, समस्या त्रुटीमुळे उद्भवली आहे जी प्रमाणपत्रांची योग्य हाताळणी प्रतिबंधित करते स्वाक्षरीमध्ये सामील असलेल्या मूळ प्रमाणपत्रांपैकी एक कालबाह्य झाल्यास क्रॉस-स्वाक्षरी केली गेली, जरी ट्रस्टच्या इतर वैध साखळ्या जतन केल्या आहेत.
समस्या अॅडट्रस्ट प्रमाणपत्राची मुदत संपल्यानंतर गेल्या वर्षी प्रथम उदयास आली सेक्टिगो (कोमोडो) प्रमाणपत्र प्राधिकरणाच्या प्रमाणपत्रांमध्ये क्रॉस-साइनिंगसाठी वापरला जातो. समस्येचे मूळ असे आहे की ओपनएसएसएलने रेषीय साखळी म्हणून प्रमाणपत्र पार्स केले, तर आरएफसी 4158 नुसार, प्रमाणपत्र विविध ट्रस्ट अँकरसह निर्देशित वितरित पाई चार्टचे प्रतिनिधित्व करू शकते ज्याला विचारात घेणे आवश्यक आहे.
OpenSSL 1.0.2 वर आधारित जुन्या वितरणाच्या वापरकर्त्यांना समस्येचे निराकरण करण्यासाठी तीन उपाय दिले जातात:
- IdenTrust DST Root CA X3 रूट प्रमाणपत्र व्यक्तिचलितपणे काढा आणि स्वतंत्र ISRG रूट X1 मूळ प्रमाणपत्र (क्रॉस साइनिंग नाही) स्थापित करा.
- Openssl verify आणि s_client कमांड चालवताना "rusttrusted_first" पर्याय निर्दिष्ट करा.
- सर्व्हरवर प्रमाणपत्र वापरा जे एक स्वतंत्र SRG रूट X1 मूळ प्रमाणपत्राद्वारे प्रमाणित आहे जे क्रॉस-स्वाक्षरी केलेले नाही (लेट्स एनक्रिप्ट अशा प्रमाणपत्राची विनंती करण्याचा पर्याय देते). या पद्धतीमुळे जुन्या Android क्लायंटशी सुसंगतता कमी होईल.
याव्यतिरिक्त, लेट्स एनक्रिप्ट प्रकल्पाने निर्माण केलेल्या दोन अब्ज प्रमाणपत्रांचा टप्पा पार केला आहे. गेल्या वर्षी फेब्रुवारीमध्ये एक अब्जाचा टप्पा गाठला होता. दररोज 2,2-2,4 दशलक्ष नवीन प्रमाणपत्रे तयार केली जातात. सक्रिय प्रमाणपत्रांची संख्या 192 दशलक्ष आहे (प्रमाणपत्र तीन महिन्यांसाठी वैध आहे) आणि सुमारे 260 दशलक्ष डोमेन (एक वर्षापूर्वी ते 195 दशलक्ष डोमेन, दोन वर्षांपूर्वी - 150 दशलक्ष, तीन वर्षांपूर्वी - 60 दशलक्ष) समाविष्ट करते.
फायरफॉक्स टेलीमेट्री सेवेच्या आकडेवारीनुसार, HTTPS वर पृष्ठ विनंत्यांचा जागतिक हिस्सा 82%आहे (एक वर्षापूर्वी - 81%, दोन वर्षांपूर्वी - 77%, तीन वर्षांपूर्वी - 69%, चार वर्षांपूर्वी - 58%).
स्त्रोत: https://scotthelme.co.uk/