Новини

С 30 сентября миллионы смартфонов и ПК лишились доступа к веб-сайтам: детали

30 сентября миллионы устаревших электронных устройств потеряют доступ ко многим сайтам из-за обновления корневого сертификата от Let"s Encrypt.
 
Об этом сообщает портал TechCrunch.

Что ждет пользователей смартфонов и планшетов с 30 сентября?

В четверг в 14:01:15 по Гринвичу истекает срок действия корневого сертификата IdenTrust DST Root CA X3 от центра Let"s Encrypt, предоставляющего бесплатные криптографические сертификаты для 250 млн доменных имен. Новый промежуточный сертификат под названием ISRG Root X1 не поддерживается операционными системами предыдущих поколений. Таким образом пользователи многих моделей смартфонов, планшетов и ПК не смогут открыть большое количество сайтов. Предполагается, что доступ к потоковым сервисам, таким как Netflix, электронной почте и онлайн-банкингу, так же будет потерян.

Проблема коснется таких устройств:

  • iPhone и iPad с версией iOS 9 или старше, например, iPhone 5;
  • ноутбуки MacBook с macOS 10.12.0 и старше;
  • cмартфоны на базе и Android 2.3.6 и старше;
  • ПК с Windows XP Service Pack 2, Ubuntu старше 16.04, Debian 8, Java 8 старше версии 8u141, Java 7 старше 7u151, NSS старше 3.26.
  • старые модели смарт-телевизоров и устройств Интернета вещей (IoT);
  • PlayStation 3 и PlayStation 4 с версией прошивки старше 5.00;
  • Nintendo 3DS.

Что такое корневые сертификаты и как они работают

Каждая система, проверяющая цифровые сертификаты, имеет собственное хранилище доверенных корневых сертификатов. Проверку проходят лишь те сторонние сертификаты, которые подписаны при помощи закрытого ключа одного из корневых. Существует также технология открытых ключей, в основе которых лежат цепочки доверия, позволяющие подписывать промежуточные сертификаты с помощью корневых — для подтверждения валидности система обязана проверить всю цепочку вплоть до корневого.

Корневой сертификат Let's Encrypt поддерживают все современные браузеры, хотя распознают далеко не все устройства. Проект Let's Encrypt хотел перейти на подписи исключительно по своему корневому сертификату, что привело бы к потере совместимости с еще большим количеством старых ОС, например, Android начал поддерживать его только с версии 7.1.1. Из-за этого разработчики заключили новое соглашение с сертификационным центром IdenTrust о создании перекрестно-подписанного промежуточного сертификата, который будет действовать до 2024 года с поддержкой Android 2.3.6.

Что нужно учесть пользователям устройств с устаревшими ОС

Пользователи старых дистрибутивов могут решить проблему такими способами:

Вручную удалить корневой сертификат IdenTrust DST Root CA X3 и установить самостоятельный корневой сертификат ISRG Root X1 (не перекрестно-подписанный).
При запуске команд openssl verify и s_client указывать опцию "--trusted_first".
Использовать на сервере сертификат, заверенный полноценным сертификатом SRG Root X1, который предоставляет Let's Encrypt — в этом случае потеряется совместимость со старыми Android-клиентами.
Стоит отметить, что в настоящий момент для сертификатов Let's Encrypt по умолчанию устанавливается такая цепочка доверия:

IdenTrust"s DST Root CA X3 -> ISRG Root X1 -> Let's Encrypt R3 -> Конечный сертификат пользователя.

Пользователи Debian и Ubuntu могут воспользоваться утилитой faketime. В Ubuntu 16.04 xenial и Debian 8 jessie необходимо проверить наличие ISRG Root X1 в списке доверенных и добавить его туда в случае отсутствия. При использовании библиотеки OpenSSL 1.0.x рекомендуют удалить устаревший сертификат DST Root CA X3.

Search