Δείτε τι σημαίνει η μετεγκατάσταση για τα πιστοποιητικά και τα συστήματά σας, ειδικά εάν χρησιμοποιείτε έλεγχο ταυτότητας πελάτη σε SSL/TLS πιστοποιητικά.
Τι σημαίνει αυτό για εσάς
Για τους περισσότερους πελάτες SSL, αυτή η μετεγκατάσταση είναι απρόσκοπτη. Εάν το δικό σας TLS Εάν τα πιστοποιητικά χρησιμοποιούνται για τον τυπικό έλεγχο ταυτότητας διακομιστή ιστού HTTPS, τα πιστοποιητικά σας θα συνεχίσουν να λειτουργούν ακριβώς όπως αναμένεται μετά τη μετάβαση της έκδοσης στις ρίζες του 2022.
Εάν τα συστήματά σας εξαρτώνται από το ClientAuth EKU στο TLS πιστοποιητικά, Έχετε μια απόφαση να πάρετε και αρκετές επιλογές να εξετάσετε:
- Έχουν τα συστήματα προσκολληθεί στις ρίζες του 2016, αλλά χρειάζονται την εμπιστοσύνη του Chrome; Αυτό είναι το πιο περίπλοκο σενάριο, που απαιτεί άμεση προσοχή. PKI Οι ειδικοί σε λύσεις μπορούν να συνεργαστούν μαζί σας ή/και με την ομάδα σας για να χαράξουν μια πρακτική πορεία για το περιβάλλον σας.
- Μεταβείτε στο προϊόν Πιστοποιητικού Πελάτη μας. Για τον έλεγχο ταυτότητας πελάτη, χρησιμοποιήστε αποκλειστικά πιστοποιητικά πελάτη. Αυτά έχουν δημιουργηθεί για αυτήν τη χρήση και δεν επηρεάζονται από τις απαιτήσεις ελέγχου ταυτότητας διακομιστή του Google Chrome.
- Μείνετε στις ρίζες του 2016 αν η αξιοπιστία του Chrome δεν αποτελεί πρόβλημα. Αν δεν χρειάζεστε την αξιοπιστία του προγράμματος περιήγησης Chrome, προς το παρόν μπορείτε να παραμείνετε στις ρίζες του 2016, αλλά η αξιοπιστία του προγράμματος περιήγησης θα μειωθεί με την πάροδο του χρόνου, επομένως θα χρειαστούν ενέργειες στο εγγύς μέλλον.
- Χρησιμοποιήστε διασταυρούμενα πιστοποιητικά για συμβατότητα με παλαιότερες εκδόσεις. Εάν ο οργανισμός σας χρειάζεται εμπιστοσύνη που να επιστρέφει στις ρίζες του 2016, ενώ παράλληλα να προχωρά μπροστά, τα διασταυρούμενα πιστοποιητικά μπορούν να γεφυρώσουν αυτό το κενό. Αυτή είναι μια εξαιρετική επιλογή για ομάδες με συστήματα που εξαρτώνται από την παλαιότερη ιεραρχία ρίζας.
Γιατί συμβαίνει αυτό
Οι ρίζες γερνούν
Τα πιστοποιητικά ρίζας (root certificates) αποτελούν τις άγκυρες της ψηφιακής εμπιστοσύνης. Τα προγράμματα περιήγησης και τα λειτουργικά συστήματα διατηρούν λίστες με ρίζες (roots) που αναγνωρίζουν ως αξιόπιστες και κάθε πιστοποιητικό που εκδίδετε αντιστοιχεί σε μία από αυτές. Ωστόσο, οι παλαιότερες ρίζες ενέχουν μεγαλύτερο κίνδυνο με την πάροδο του χρόνου.
Οι ρίζες (roots) που κυκλοφορούν εδώ και χρόνια έχουν δει αυξημένη έκθεση, περισσότερες ευκαιρίες για την εμφάνιση κρυπτογραφικών ευπαθειών και ένα τεράστιο δυναμικό για κακή χρήση. Αυτός είναι ένας μεγάλος λόγος για τον οποίο ο κλάδος μειώνει σταθερά τη διάρκεια ζωής των πιστοποιητικών και πιέζει τις αρχές έκδοσης πιστοποιητικών να εκσυγχρονίσουν τις ιεραρχίες εμπιστοσύνης τους. Τα προγράμματα περιήγησης προτιμούν όλο και περισσότερο νεότερες, καλά διαχειριζόμενες ρίζες (roots). Η μετεγκατάσταση στις ρίζες του 2022 διατηρεί το SSL ευθυγραμμισμένο με την πορεία του κλάδου και διατηρεί τα πιστοποιητικά σας αξιόπιστα από τα σύγχρονα προγράμματα περιήγησης.
Ο Παράγοντας Χρώμιο
Το πρόγραμμα Root του Chrome επιβάλλει το δημόσιο TLS Τα πιστοποιητικά περιλαμβάνουν μόνο την εκτεταμένη χρήση κλειδιού (EKU) για έλεγχο ταυτότητας διακομιστή. Για χρόνια, είναι κοινή πρακτική η έκδοση TLS πιστοποιητικά που περιλαμβάνουν επίσης το ClientAuth EKU, επιτρέποντας έτσι σε ένα μόνο πιστοποιητικό να χειρίζεται τον έλεγχο ταυτότητας τόσο του διακομιστή όσο και του πελάτη. Το Chrome έχει διαπιστώσει ότι αυτή η διπλή χρήση δεν ήταν ποτέ ο προβλεπόμενος σκοπός ενός δημόσιου TLS πιστοποιητικό και το καταργεί σταδιακά.
Επειδή οι ρίζες του 2016 χρησιμοποιήθηκαν για την έκδοση πιστοποιητικών που θα μπορούσαν να περιλαμβάνουν ClientAuth EKU, το SSL αφαιρεί αυτές τις ρίζες από τους δημόσιους χώρους αποθήκευσης εμπιστοσύνης και μεταφέρει την έκδοση στις ρίζες του 2022. Τα πιστοποιητικά που εκδίδονται από τις ρίζες του 2022 θα φέρουν μόνο έλεγχο ταυτότητας διακομιστή, σε πλήρη ευθυγράμμιση με τις απαιτήσεις του Chrome.
Είμαστε εδώ για βοήθεια
Είτε χρειάζεται να κάνετε μετεγκατάσταση σε ένα προϊόν πιστοποιητικού πελάτη, να εξερευνήσετε επιλογές διασταυρούμενων πιστοποιητικών ή να δημιουργήσετε ένα σχέδιο μετάβασης γύρω από την υπάρχουσα υποδομή σας, τα SSL PKI Οι ειδικοί είναι έτοιμοι να σας βοηθήσουν να βρείτε την κατάλληλη λύση για τον οργανισμό σας.
Εάν δεν είστε σίγουροι για το πώς αυτή η αλλαγή επηρεάζει τις αναπτύξεις πιστοποιητικών σας ή εάν χρειάζεστε βοήθεια για την αξιολόγηση των επιλογών σας, επικοινωνήστε με την ομάδα μας σήμερα για να συζητήσετε τις συγκεκριμένες ανάγκες σας ή για να λάβετε άμεση βοήθεια με τη στρατηγική μετεγκατάστασής σας.
