30 вересня мільйони застарілих електронних пристроїв втратять доступ до багатьох сайтів через поновлення кореневого сертифіката від Let’s Encrypt.
Про це повідомляє портал TechCrunch, інформує Фокус.
Навигация по статье
Що чекає користувачів смартфонів і планшетів із 30 вересня?
У четвер о 14:01:15 за Гринвічем закінчується термін дії кореневого сертифікату IdenTrust DST Root CA X3 від центру Let’s Encrypt, який надає безкоштовні криптографічні сертифікати для 250 млн доменних імен. Новий проміжний сертифікат під назвою ISRG Root X1 не підтримується операційними системами попередніх поколінь. Так користувачі багатьох моделей смартфонів, планшетів і ПК не зможуть відкрити велику кількість сайтів. Передбачається, що доступ до потокових сервісів, таких як Netflix, електронної пошти й онлайн-банкінгу, так само буде втрачений.
Проблема торкнеться таких пристроїв:
- iPhone і iPad з версією iOS 9 або старше, наприклад, iPhone 5;
- ноутбуки MacBook із macOS 10.12.0 і старше;
- смартфон на базі та Android 2.3.6 і старше;
- ПК з Windows XP Service Pack 2, Ubuntu старше 16.04, Debian 8, Java 8 старше версії 8u141, Java 7 старше 7u151, NSS старше 3.26.
- старі моделі смарт-телевізорів і пристроїв Інтернету речей (IoT);
- PlayStation 3 і PlayStation 4 з версією прошивки старше 5.00;
- Nintendo 3DS.
Що таке кореневі сертифікати і як вони працюють
Кожна система, що перевіряє цифрові сертифікати, має власне сховище довірених кореневих сертифікатів. Перевірку проходять лише ті сторонні сертифікати, які підписані за допомогою закритого ключа одного з кореневих. Існує також технологія відкритих ключів, в основі яких лежать ланцюжки довіри, що дозволяють підписувати проміжні сертифікати за допомогою кореневих – для підтвердження валідності система зобов’язана перевірити весь ланцюжок аж до кореневого.
Кореневий сертифікат Let’s Encrypt підтримують усі сучасні браузери, хоча розпізнають далеко не всі пристрої. Проєкт Let’s Encrypt хотів перейти на підписи виключно за своїм кореневим сертифікатом, що призвело б до втрати сумісності зі ще більшою кількістю старих ОС, наприклад, Android почав підтримувати його тільки з версії 7.1.1. Через це розробники уклали нову угоду із сертифікаційним центром IdenTrust про створення перехресно-підписаного проміжного сертифіката, який діятиме до 2024 року з підтримкою Android 2.3.6.
Сертифікат DST Root CA X3 від Let’s Encrypt
Що потрібно врахувати користувачам пристроїв із застарілими ОС
Користувачі старих дистрибутивів можуть вирішити проблему такими способами:
1. Вручну видалити кореневий сертифікат IdenTrust DST Root CA X3 і встановити самостійний кореневий сертифікат ISRG Root X1 (не перехресно-підписаний).
2. Під час запуску команд openssl verify і s_client вказувати опцію “–trusted_first”.
3. Використовувати на сервері сертифікат, завірений повноцінним сертифікатом SRG Root X1, який надає Let’s Encrypt – у цьому випадку загубиться сумісність зі старими Android-клієнтами.
Варто зазначити, що наразі для сертифікатів Let’s Encrypt за замовчуванням встановлюється такий ланцюжок довіри:
IdenTrust “s DST Root CA X3 -> ISRG Root X1 -> Let’s Encrypt R3 -> Кінцевий сертифікат користувача.
Користувачі Debian та Ubuntu можуть скористатися утилітою faketime. В Ubuntu 16.04 xenial і Debian 8 jessie необхідно перевірити наявність ISRG Root X1 в списку довірених і додати його туди в разі відсутності. Під час використання бібліотеки OpenSSL 1.0.x рекомендують видалити застарілий сертифікат DST Root CA X3.
Leave a comment