ผู้รับรองรูทหมดอายุและทำให้เว็บไซต์หลายแห่งตกอยู่ในความเสี่ยง

มิถุนายน 2, 2020 แมตต์มิลส์ อินเทอร์เน็ต 0

ในวันที่ 30 ผู้มีสิทธิ์ออกใบรับรองหลัก AddTrust ภายนอก CA Root ที่หมดอายุแล้ว มันใช้งานมา 20 ปีแล้วและสิ่งนี้มีผลกระทบอย่างมีเหตุผลกับหลาย ๆ เว็บไซต์ อย่างไรก็ตามควรทราบว่าไม่ส่งผลกระทบอย่างมากต่อการใช้งานประจำวันของผู้ใช้โดยมีข้อยกเว้นบางประการที่เราจะแสดงความคิดเห็น

ใบรับรองหลักคืออะไร

ราก ใบรับรองคือใบรับรองที่ลงนามเอง ซึ่งหมายความว่า "ผู้ออก" และ "เรื่อง" เหมือนกัน ใบรับรองรูทกลายเป็นใบรับรองรูทที่เชื่อถือได้ (หรือ CA ที่เชื่อถือได้) โดยการรวมไว้ในร้านค้าที่เชื่อถือได้ของซอฟต์แวร์เช่นเบราว์เซอร์หรือระบบปฏิบัติการ

ผู้รับรองรูทหมดอายุและทำให้เว็บไซต์หลายแห่งตกอยู่ในความเสี่ยง

ร้านค้าที่น่าเชื่อถือเหล่านี้ได้รับการปรับปรุงเป็นครั้งคราวซึ่งเป็นส่วนหนึ่งของการปรับปรุงซอฟต์แวร์ของเบราว์เซอร์หรือระบบปฏิบัติการ ปัญหาคือว่าบนแพลตฟอร์มที่เก่ากว่าพวกเขาได้รับการปรับปรุงตามปกติเป็นส่วนหนึ่งของการปรับปรุงซอฟต์แวร์เต็มรูปแบบ นั่นคือพวกเขาไม่ได้รับการปรับปรุงเหล่านั้นในรุ่นที่เก่ากว่า

ซึ่งหมายความว่ามีอุปกรณ์ที่ไม่มีการปรับปรุงเพื่อรวมใบรับรองหลักที่ทันสมัยและดังนั้นจึงไม่เข้ากันได้กับมาตรฐานปัจจุบัน

ใบรับรองที่ได้รับผลกระทบส่วนใหญ่ออกโดย เซติโก or ประชา . อย่างไรก็ตามไม่ใช่สิ่งที่ส่งผลกระทบต่อผู้ใช้ปัจจุบันมากนัก กล่าวอีกนัยหนึ่งก็จะส่งผลต่อผู้ที่ใช้ระบบที่ล้าสมัยเท่านั้นเช่น Windows XP และ Internet Explorer 6 เพื่อนำทาง อาจส่งผลต่อระบบการตรวจสอบหรือสคริปต์ได้มากขึ้น

เราสามารถพูดได้ว่าใบรับรองดิจิทัลอนุญาตให้โดเมนและเซิร์ฟเวอร์ได้รับการตรวจสอบอย่างปลอดภัยและหลีกเลี่ยงปัญหาด้านความปลอดภัยที่สำคัญเช่นการแอบอ้างชื่อโดเมนนั้นหรือให้ไซต์ที่สามตอบสนองต่อคำขอในนามของเรา

จะช่วยให้การเชื่อมต่อระหว่างเบราว์เซอร์และเซิร์ฟเวอร์ที่จัดตั้งขึ้นเมื่อมีการเข้ารหัสระหว่างพวกเขา วิธีนี้ช่วยป้องกันผู้บุกรุกที่อาจเกิดขึ้นจากการดูเนื้อหาซึ่งอาจมีข้อมูลที่เป็นความลับเช่นรหัสผ่านหรือรายละเอียดธนาคาร

Caducidad de certificados raíz

ลูกค้าสมัยใหม่และระบบปฏิบัติการ

ควรสังเกตว่าทั้งหมดนั้น ลูกค้าที่ทันสมัยและระบบปฏิบัติการจะ ไม่มีปัญหาใด ๆ เกินกว่า 30 พฤษภาคมซึ่งเป็นเมื่อใบรับรองหลักหมดอายุ ในกรณีนี้พวกเขามีราก Comodo และ USERTrust ที่ใหม่ล่าสุดและทันสมัยที่สุดที่จะเปิดให้บริการจนถึงปี 2038

สำหรับอุปกรณ์รุ่นเก่านั้นราก Sectigo ใหม่จะต้องได้รับการปรับปรุงและติดตั้ง จะไม่จำเป็นต้องออกหรือติดตั้งใบรับรอง

ในระยะสั้นตามที่เราได้ระบุไว้ปัญหาจะปรากฏเฉพาะกับผู้ที่ใช้ระบบปฏิบัติการและเบราว์เซอร์ที่ล้าสมัยเท่านั้น แสดงให้เห็นถึงความสำคัญของการรักษาเวอร์ชันล่าสุดเสมอ หลายครั้งปัญหาความปลอดภัยอาจเกิดขึ้นซึ่งทำให้อุปกรณ์ของเราตกอยู่ในความเสี่ยง จำเป็นอย่างยิ่งที่จะต้องติดตั้งแพตช์ล่าสุดเพื่อแก้ไขปัญหาเหล่านี้

จาก CDN โปร่งใส เพื่อแก้ปัญหานี้พวกเขาเลือกที่จะ ทำซ้ำใบรับรองเซิร์ฟเวอร์ (ซึ่งไม่ได้หมายถึงการต่ออายุเนื่องจากใช้ได้จนถึงวันหมดอายุ) และใช้ CA ใหม่ที่มีให้จาก Sectigo และที่ยังไม่หมดอายุจนถึงปี 2038

เราปล่อยให้คุณบทความที่เราพูดคุยเกี่ยวกับวิธีการทำงานของใบรับรอง HTTPS