Окончание действия цифрового сертификата, подтверждающего соединение между устройствами и сайтами, грозит проблемами для миллионов пользователей. Уже 30 сентября они могут остаться без доступа к интернету. Опрошенные «Газетой.Ru» специалисты рассказали, кому грозит отключение, и можно ли его избежать.
В чем проблема?
30 сентября в 14.01 по Гринвичу (17.01 мск) у миллионов пользователей по всему миру начнутся проблемы с доступом к интернету. В этот момент закончится срок действия цифрового корневого сертификата IdenTrust DST Root CA X3.
Сертификатами занимается некоммерческая организация Let’s Encrypt. Она выпускает бесплатные цифровые сертификаты для шифрования соединений между устройствами и интернетом с целью защиты данных от перехвата в процессе передачи. Миллионы сайтов активно применяют их у себя.
В сертификате существует перекрестная подпись, на которой построено доверие систем внутри устройств, операционных систем и браузеров. После устаревания DST Root CA X3 сертификаты Let’s Encrypt перестанут восприниматься электронными устройствами.
Технический директор хостинг-провайдера и регистратора доменов REG.RU Александр Хакимов рассказал «Газете.Ru», что вся проблема с доступом связана именно с системой доверия между сертификатами. По словам эксперта, для Let’s Encrypt в данный момент предлагается следующая цепочка доверия: IdenTrust’s DST Root CA X3, затем ISRG Root X1, затем Let’s Encrypt R3, затем конечный сертификат.
«Таким образом, после 30 сентября все пользовательские устройства, которые «не знают» об этих корневых сертификатах, перестанут доверять всем сертификатам, выпущенным Let’s Encrypt», — пояснил он.
Кто под угрозой?
Возможность срыва подключения к интернету грозит миллионам устройств по всему миру.
Хакимов из REG.RU уточнил, что с проблемой могут столкнуться владельцы гаджетов от Apple: смартфонов iPhone и планшетов iPad, не имеющих возможности обновиться до iOS 10 (это iPhone 4S и более старые модели — прим. «Газеты.Ru»), а также ноутбуков MacBook с macOS 10.12.0 и старше.
При этом специалист пояснил, что владельцам iPhone 5 достаточно обновиться до iOS 10, в таком случае система должна работать без сбоев.
В зоне риска также оказались пользователи смартфонов на ОС Android 2.3.6 и старше, компьютеров на базе Windows XP Service Pack 2.
Обновиться для продолжения корректной работы интернета необходимо клиентам OpenSSL версии 1.0.2 и старее, пользователям Ubuntu версии ниже 16.04. Также сложности с доступом могут возникнуть у игровых консолей PlayStation 3 и PlayStation 4 с версией прошивки старше 5.00. Портативная консоль Nintendo 3DS тоже подвержена этой проблеме. В зоне риска старые модели смарт-телевизоров и умных устройств, использующихся в домашней сети.
«Могут наблюдаться проблемы с доступностью сайтов и сервисов на этих устройствах», — отметил Хакимов. Проблемы с подключением могут наблюдаться и на любом гаджете, который требует безопасного подключения к определенному серверу.
Также возможно лишение доступа к стриминговым сервисам, таким как Netflix, почтовым сервисам и банковским клиентам.
Хакимов уточнил, что подобные проблемы с сертификатами случаются редко.
Как будет решаться?
Устройства пользователей становятся жертвами не очень умной политики обновления, заявил в беседе с «Газетой.Ru» главный аналитик РАЭК Карен Казарян.
«Есть определенные костыли, которые позволяют поддерживать работу сертификатов на относительно свежих гаджетах последних пяти лет», — пояснил он.
Специалист уточнил, что с более старыми гаджетами ситуация куда более плачевная. «С ними конечно грустно все, но по большому счету это ответственность производителей. Они должны были обеспечить обновление соответствующих сертификатов», — добавил Казарян.
По словам эксперта, при наличии технической грамотности сертификат на устройстве можно обновить вручную, но нужен root-доступ, дающий возможности главного администратора, недоступные обычному пользователю.
Смартфоны поставляют без root-доступа, «необходим ряд танцев с бубном», которые самостоятельно провести смогут далеко не все, заметил эксперт.
Он заключил, что для определенного числа старых устройств, в особенности от китайских производителей, проблемы с сертификатом будут нерешаемыми, и интернет на них так и останется нерабочим — навсегда.