akirich_pcroom

Categories:

Телекомы. Почему Интернету плохо. [Решение для LetsEncrypt для старых iOS]

Прошлая неделя ознаменовалась двумя крупными событиями, которые сильно повлияли на работу интернет-сервисов — окончание сертификата IdenTrust DST Root CA X3 и падение всей сетевой инфраструктуры Фейсбука. Сегодня про сертификаты, завтра про сеть.

Бесплатный SSL бывает только у LetsEncrypt 

30 сентября 2021 года в 17:01 по Киеву истек корневой сертификат IdenTrust DST Root CA X3. Заурядному пользователю в предыдущем предложении понятна только дата и время. Но если говорить обобщенно — это поломало доступность более 300 миллионов сайтов в мире, в том числе и akirich.pp.ua вместе с сервисами XTMAP. Чудом не упали боты, да и то скорее всего потому что Телеграм не использует Java в обработке сообщений на сервере.

Если говорить обобщенно, то сертификат безопасности — это цифровой документ с ограниченным сроком действия и он может быть аннулирован досрочно (но об этом не сейчас). Именно из-за сроков действия необходимо всегда поддерживать в точности время на устройстве.

Корневой сертификат — это самый верхний уровень безопасности шифрования, и на самом деле применяется не только как шифрование на сайтах, все зависит от доступных ролей. Например вы сейчас читаете пост на ЖЖ, используя сертификат с возможностью цифровой подписи.

Один из родственных примеров — цифровые подписи, в том числе закрепленные на государственном уровне в Украине. Но наши аккредитованные центры сайты не шифруют. И я потом поясню почему это плохо.

Так вот, корневым сертификатом подписывают сертификаты меньшего порядка. Крупнейшим центром сертификации по истекшему сертификату стал LetsEncrypt, которым пользуется 250 миллионов. Почему сайтов так много? Да потому что сервис бесплатный. Да, есть ограничение в сроке действия — 90 дней. Некоторые хостинг-провайдеры, в том числе и Goodnet.ua, которым я пользуюсь (за рекламу мне не платили:)) — дают возможность сделать автоматический перевыпуск сертификата.

Окей, сертификат закончился, что дальше. Если у вас новая система, то вы скорее всего не заметили сбоев. Разве что один или два раза нужный сайт открылся чуть медленнее, чем обычно. Но если у вас старое устройство, или нормально не работает обновление, то вы получите прекрасную ошибку, что сертификат истек или срок действия еще не наступил (первый скрин). 

Вебмастеры с этой ситуацией сделать ничего не смогут, кроме смены сертификата на платный у другого центра. И цены, скажу я вам, кусаются — цена сертификата, например, вдвое-втрое превышает весь бюджет XTMAP. 

Идеальное решение для пользователя — перейти на Firefox. Потом поясню почему.

Как доустановить нужные сертификаты

А вот пользователи могут починить больные сертификаты, причем можно поставить даже на старые устройства. Для винды ставим актуальный пакет сертификатов с сайта Майкрософта. Как ставить — тут.

http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab — тут новые сертификаты, в том числе и ISRG Root X1, нужный летсэнкрипту.

http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab — по хорошему надо еще и этот пакет поставить (он блокирует ненадежные сертификаты).

Есть чуть менее универсальный способ, но более простой, т.к. он работает только для Lets Encrypt и другие сайты на DST Root CA X3 он не подымет. Качаем четыре сертификата: 1, 2, 3, 4. Затем, правой клавишей мыши нажимаем, и выбираем установить сертификат. Нажимаем в мастере везде далее. В идеале надо перезагрузить систему, но можно просто закрыть и открыть Хром.

Рецепта для iOS 9 почему-то не публикуют. Но оно давно применяется и существует. Там можно решить проблему через профили сертификации. Для андроидов все еще проще — заливаем на телефон нужные сертификаты, и через раздел в настройках их устанавливаем. Этот раздел есть в андроиде со старых моделей на втором андроиде (искать по слову сертификаты, раздел конфиденциальность). 

Имеем A1432, самый первый iPad mini, с максимально возможной версией iOS 9.3.5. XTMAP открываться нормально не хочет. Конечно, можно открывать многие сайты и по HTTP, но это выстрел в ногу, т.к. современные браузеры с позиции безопасности блокируют на таких сайтах геопозицию и уведомления.

Настраиваем на устройстве почтовый клиент. Отправляем письмо на настроенный адрес с компа с вышеозначенными 4 сертификатами. Их необходимо приложить файлами, а не оставлять ссылку.

Открываем почту и нажимаем на сертификат. Выскочат настройки, а справа на заголовке будет кнопка Установить. 

Потом он сообщит, что установит сертификат как надежный, и предупредит что не смог проверить сертификат. Еще раз нажимаем кнопку Установить, и потом еще раз подтверждаем в отдельном опросе. Не волнуйтесь, ссылки на сертификаты выше — ведут напрямую на сервера LetsEncrypt. Их же можно найти тут.

После этого идем в Safari и успешно открываем нужный сайт.

Если возымел эффект от установки первого сертификата (обычно этого действительно достаточно) — останавливаемся. 

Все четыре сертификата — дают возможность проверять подписи в разных типах шифрования, но затормаживают систему. Мне хватило первого — в аттаче на скрине один и тот же сертификат в двух разных форматах. 


Теперь нагажу про всех кто в этом виноват. Про то что сертификат истекает — знал и LetsEncrypt, но эту ситуацию должны были решать вендоры операционных систем и браузеров. Случай не первый. Например, майкрософтовский кончился год назад, обошлось без цирка, предупредили, где возможно — отработала автоматика. Но общего решения до сих пор не нашли, только обновление и переустановка.

Майкрософт отработал через Windows Update, причем вышеуказанные STL-файлы работают даже в древних Win98 и Win2000. И их можно скачать свободно.

Эпл, в свойственной ему манере традиционно забил болт. И после этого рассказы что эта платформа безопасна — маркетинговый бред. Слишком часто они с этим косячат. 

А Андроид имеет такое огромное количество производителей и еще большее количество прошивок — что за каждой из них не проследить.

Но в этой всей теме есть ребята, которые всполошились давно. Например, Firefox. В отличии от хрома и хромоподобных браузеров — у него свое хранилище сертификатов и он не зависит от операционной системы. Новые сертификаты поступают (а ненадежные отзываются) с сетевой базы или с новой версией браузера. Автоматически.

Chromium Project (Разработчики браузера, на котором основан Google Chrome) в этом случае поступили максимально хреново, т.к. обосрались в 2020 году с окончанием другого сертификата, пообещали внутреннее хранилище. И сделали ровно ничего. 

Они указали, что Mozilla смогли его сделать, указали политику разработчиков Firefox. Но даже договорится о доступе к их платформе не смогли. Версия сетевого хранилища Chromium в последний раз обновлялась еще до пресс релиза — чуть меньше года назад, 20.10.2020. Уже прекративший действие сертификат там по прежнему есть, хотя даже его издатель с 2014 года просит указывать новую коммерческую версию. И до релиза её естественно не дотянули, версию хромиума с встроенным хранилищем я не нашел. 

Не удивлюсь, если они обосрутся и не выкатят патчи к 15 декабря 2021, когда истечет сертификат Google Trust Services - GlobalSign Root CA-R2. После этого Хром не сможет даже обновится самостоятельно. В следующем году кончится GeoTrust Global CA (очень много коммерческих сайтов висит на нем), так что это только начало. 


promo akirich_pcroom september 1, 2013 01:18
Buy for 10 tokens
Размещайте рекламу в промо по уникально низким ставкам! Правила размещения промо в моем ЖЖ. Даже несмотря на непостоянство показов в данном журнале действуют ограничения по тематике промоутируемых материалов. Рекламируемый материал должен содержать материалы подходящие для группы 12+.…

Error

Anonymous comments are disabled in this journal

default userpic

Your reply will be screened

Your IP address will be recorded