Keling, eski Android qurilmalaridagi sertifikat muammosini shifrlaymiz

Shifrlash

Bir necha hafta oldin biz bu erda blogda keling, shifrlash haqidagi yangiliklarni baham ko'ramiz (notijorat, jamoat tomonidan boshqariladigan sertifikatlashtirish markazi, bu hammaga bepul sertifikatlar beradi) foydalanuvchilarni imzo ishlab chiqarishdagi yaqin o'zgarishdan ogohlantirdi, muammolarni keltirib chiqarishi va ayniqsa foydalanilayotgan Android qurilmalarining taxminan 33% bilan mosligini yo'qotishi mumkin.

Buning sababi, IdenTrust sertifikat idorasi tomonidan o'zaro imzolangan sertifikatdan foydalanmasdan, faqat ildiz sertifikatidan foydalangan holda imzo ishlab chiqarishga o'tishni e'lon qildi.

11 yil 2021-yanvardan boshlab Let's Encrypt API-ga o'zgartirishlar kiritilishi aytib o'tildi va sukut bo'yicha ACME mijozlari ISRG Root X1 sertifikatlarini o'zaro imzo chekmasdan olishadi.

Let's Encrypt root sertifikatining yangi turi barcha zamonaviy brauzerlarga mos kelishi haqida so'z yuritildi, ammo u faqat 7.1.1 yil oxirida chiqarilgan Android 2016 dan boshlab tan olingan (agar siz yangiliklar haqida ko'proq bilmoqchi bo'lsangiz, maslahat olishingiz mumkin nashr Quyidagi havolada).

Lekin hozir, Keling, shifrlash rejasi qayta ko'rib chiqilganligini e'lon qildi va eski Android qurilmalari bilan muvofiqligi kamida uch yil davom etadi.

API o'zgarishi 11 yanvarga rejalashtirilgan bo'lib, bu faqat ISRG Root X1 ildiz sertifikati bilan tasdiqlangan sertifikatlarni xoch imzosiz berishga o'tishni nazarda tutadi, 2021 yil iyuniga qoldirildi.

Biz eski Android qurilmalari o'zaro imzolangan brokerlarimizning amal qilish muddati tugagandan so'ng, Let's Encrypt sertifikatlaridan foydalanadigan saytlarga kirish qobiliyatini saqlab qolish usulini ishlab chiqqanimizni e'lon qilishdan mamnunmiz. Endi biz yanvar oyida abonentlar uchun shifrlanaylik abonentlari uchun moslik muammolarini keltirib chiqaradigan har qanday o'zgarishlarni rejalashtirmaymiz.

Shu bilan birga, muqobil sertifikatni talab qilish imkoniyatini taqdim etish imkoniyati sifatida qaror qilindi, eski xoch-tasdiqlash sxemasi bo'yicha sertifikatlangan va "Let Encrypt" sertifikati qo'shilmagan root sertifikatlar do'konidagi qurilmalar bilan mosligini saqlab qolish.

Muqobil sertifikat 2021 yil yanvar oyi oxiri yoki fevral oyi boshlarida ishlab chiqariladi IdenTrust sertifikatlashtirish idorasi bilan qo'shimcha kelishuvning bir qismi sifatida. Let's Encrypt-ga tegishli ISRG Root X1 root sertifikatiga qo'shimcha ravishda ushbu sertifikat IdenTrust-dan DST Root CA X3 sertifikati yordamida o'zaro imzolanadi.

Xoch imzo u uch yil davomida amal qiladi, bu ISRG Root X1 asosiy ildiz sertifikatining amal qilish muddatidan kam.

Asosiy ildiz shifrlaylik bilan imzolashdan oldin o'zaro imzo muddati tugaganligi sababli, Sectigo sertifikat organining (Comodo) sertifikatlarida o'zaro imzolash uchun foydalanilgan AddTrust ildiz sertifikatining amal qilish muddati tugashi bilan bog'liq hodisalar o'xshash bo'lishi mumkin. ).

Brauzerlar AddTrust o'zaro faoliyat sertifikatining amal qilish muddati tugaganligini to'g'ri ko'rib chiqdilar, ammo bu Comodo-ning asosiy ildiz sertifikati amal qilgan va amaldagi sertifikat bilan ishonch zanjiri saqlanib qolgan bo'lsa ham, OpenSSL va GnuTLS tizimlarida katta nosozliklarni keltirib chiqardi.

Yangi Let's Encrypt sertifikati o'xshashlik muammolarini yaratmasligini ta'minlash uchun IdenTrust va Let's Encrypt sertifikatlari rasmiylari tashqi auditorlar yordamida amalga oshirilgan sxemani ko'rib chiqmoqchi.

Eslatib o'tamiz, Let's Encrypt-ga tegishli root sertifikati barcha zamonaviy brauzerlar bilan mos keladi, ammo u faqat 7.1.1 yil oxirida chiqarilgan Android 2016 platformasi sifatida tan olingan. Mavjud statistik ma'lumotlarga ko'ra, faqatgina 66,2% Barcha Android qurilmalari Android 7.1 va undan yangi versiyalaridan foydalanadi.

Amaldagi Android qurilmalarining 33,8 foizida root shifrlash ma'lumotlari mavjud emas, ya'ni to'g'ri ishlashni davom ettirish uchun Android-ning oldingi versiyalariga mos root sertifikati bilan qo'shimcha imzolangan sertifikat talab qilinadi. Agar siz ushbu qurilmalarda faqat "Encrypt root root" sertifikati bilan imzolangan saytlarni ochishga harakat qilsangiz, xato ko'rsatiladi.

Nihoyat, agar siz bu haqda ko'proq bilishni xohlasangiz Yangiliklar tafsilotlarini asl yozuvida tekshirishingiz mumkin, unga kirishingiz mumkin quyidagi havola.


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi.

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.