1 октября сотни миллионов iPhone, Android и ПК на Windows останутся без интернета. Как решить проблему – CNews

1 октября сотни миллионов iPhone, Android и ПК на Windows останутся без интернета. Как решить проблему - CNews Сертификаты
На чтение 12 мин. Просмотров 32 Опубликовано
Содержание
  1. Блокировка доверия для сертификата wosign ca free ssl certificate g2
  2. Включение доверия для профилей сертификатов в ios и ipados, установленных вручную
  3. Время на подготовку было
  4. Зачем устанавливать определенные профили сертификаты это плохо
  5. Интернет – только для новых устройств
  6. Как проверить свои корневые сертификаты iphone
  7. Как проверить свои профили iphone другие сертификаты
  8. Как удалить ненужные профили сертификаты на товар
  9. Кто в зоне риска
  10. Не все профили сертификаты плохие
  11. Решено – корневой сертификат и iphone
  12. Сведения о хранилище доверия и сертификатах
  13. Список доступных доверенных корневых сертификатов в ос tvos 11
  14. Способы решения
  15. Требования к доверенным сертификатам в ios 13 и macos 10.15

Блокировка доверия для сертификата wosign ca free ssl certificate g2

Центр сертификации (ЦС) WoSign несколько раз допускал ошибки, связанные с управлением, при выдаче сертификатов через промежуточный ЦС WoSign CA Free SSL Certificate G2. Хотя корневой сертификат WoSign находится в списке доверенных сертификатов Apple, этот промежуточный центр сертификации использовался для связей сертификатов с перекрестной подписью с StartCom и Comodo, чтобы установить отношение доверия с продуктами Apple.

В свете этих обстоятельств мы принимаем меры по защите пользователей в рамках обновления безопасности. Продукты Apple больше не доверяют промежуточному центру сертификации WoSign CA Free SSL Certificate G2.

Чтобы предотвратить прекращение обслуживания держателей сертификатов WoSign и обеспечить для них переход на доверенные корневые сертификаты, продукты Apple доверяют индивидуальным существующим сертификатам, выданным этим промежуточным центром сертификации и опубликованным на общедоступных серверах журналов Certificate Transparency до 19 сентября 2021 года. Эти сертификаты будут считаться доверенными до тех пор, пока не истечет их срок действия, они не будут отозваны или не будут признаны недоверенными компанией Apple.

По мере изучения проблемы и обнаружении дополнительных уязвимостей, появляющихся из-за использования точек доверия WoSign/StartCom в продуктах Apple, мы будем принимать необходимые меры для защиты пользователей.

Дальнейшие действия для WoSign

В ходе дальнейшего исследования мы пришли к выводу, что помимо многочисленных ошибок управления в работе центра сертификации WoSign (CA), организация WoSign не сообщила о приобретении StartCom.

Мы продолжаем принимать меры для защиты пользователей в предстоящем обновлении безопасности. Продукты Apple будут блокировать сертификаты, выданные корневыми центрами сертификации WoSign и StartCom, если их дата Not Before (Не раньше) выпадает на 1 декабря 2021 г. 00:00:00 GMT/UTC или позже.

Включение доверия для профилей сертификатов в ios и ipados, установленных вручную

В iOS 10.3 и более поздних версий, а также в iPadOS при ручной установке профиля, содержащего полезную нагрузку сертификата, этот сертификат не становится доверенным для SSL автоматически. 

Время на подготовку было

Впервые о последствиях использования устройств с устаревшим корневым сертификатом Let’s Encrypt стало известно почти год назад, в середине ноября 2020 г. Однако на тот момент проблема касалась только Android-устройств с прошивкой версии 7.1 и старше.

По данным Android Police, действие сертификата должно было прекратиться 1 сентября 2021 г.

Зачем устанавливать определенные профили сертификаты это плохо

Приложения, не одобренные данными, могут вытекать с вашего iPhone практически безгранично с корневым сертификатом, но это не единственное, о чем вам следует беспокоиться. Обычные сертификаты и профили CA могут нанести такой же ущерб. При использовании приложений, которые требуют установки профиля, даже если вы не знали о том, что устанавливали, они могут попросить вас указать платежные реквизиты или пароли, от которых вам не следует так быстро отказываться.

Хакеры и другие злоумышленники могут использовать социальную инженерию, чтобы заставить вас устанавливать другие профили конфигурации, в которых хранятся сертификаты, которые могут включать полезные нагрузки для выполнения таких задач, как создание новых учетных записей электронной почты, размещение рекламных объявлений и всплывающих окон, куда бы вы ни отправлялись, или эксфильтрация. данные.

Например, было много связанных с ними отчетов пользователей за те годы, когда веб-сайт или электронная почта просили их установить профиль и сертификат, чтобы получить доступ к виджету погоды, приложению электронной почты или некоторой другой безобидной функции, которая, в свою очередь, давала разрешение профиля создавать новые учетные записи электронной почты, перенаправлять вас на вредоносные веб-сайты и показывать рекламу.

Про сертификаты:  Как оформить сертификат на готовые салаты- получите консультацию экспертов

Интернет – только для новых устройств

30 сентября 2021 г. миллионы пользователей по всему земному шару больше не смогут пользоваться многими интернет-сайтами. Проблема кроется в корневом сертификате IdenTrust DST Root CA X3 некоммерческого удостоверяющего центра Let’s Encrypt, основанного в конце 2021 г.

Он предоставляет на безвозмездной основе криптографические сертификаты для TLS-шифрования. Протокол TLS обеспечивает защищенную (зашифрованную) передачу данных между узлами сети. Если сертификат TLS на устройстве просрочен, то соединиться с другим узлом сети оно не сможет.

Сертификат IdenTrust DST Root CA X3 устареет 30 сентября 2021 г. в 17:01 по Москве, то есть приблизительно через сутки с момента публикации данного сертификата. Факт наличия проблемы осветил на своем сайте специалист по информационной безопасности Скотт Хелме (Scott Helme).

Сертификат IdenTrust DST Root CA X3 используется на миллионах устройств по всему миру. Это и Android-смартфоны, и техника Apple, и даже игровые приставки, не говоря о компьютерах под управлением Windows.

IdenTrust DST Root CA X3 применялся для кросс-подписи корневого сертификата удостоверяющего центра ISRG Root X1, тоже принадлежащего Let’s Encrypt. Именно перекрестная подпись позволила использовать сертификат Let’s Encrypt на широком спектре устройств, что в итоге и привело к проблеме, связанной с его устареванием. По истечении срока его действия пользователи не смогут воспользоваться сайтами и веб-сервисами, которые используют его.

Как проверить свои корневые сертификаты iphone

Не знаете, загрузили ли вы профиль с корневым или обычным сертификатом на ваше устройство? К счастью, их легко не только проверить, но и удалить с iPhone. Во-первых, чтобы проверить, есть ли у вас доверенные сертификаты корневого ЦС, перейдите в «Настройки» -> «Общие» -> «О нас» -> «Настройки доверия сертификатам».

Если они есть, они появятся в разделе «Версия хранилища доверия». Если они зеленые, они бегут прямо сейчас. Корневые сертификаты, которые были развернуты через Apple Configurator или Mobile Device Management, автоматически становятся доверенными. Вы можете отключить его, чтобы отключить, но это не удалит его, поэтому вы захотите просмотреть следующий раздел.

Как проверить свои профили iphone другие сертификаты

Чтобы просмотреть любые существующие профили и / или сертификаты на вашем устройстве, перейдите в приложение «Настройки», нажмите «Общие» и прокрутите вниз до «Профили». Если нет раздела «Profile / s», у вас нет ни одного установленного. Если вы видите его, нажмите на него, чтобы просмотреть их.

На этой странице может быть три разных типа профилей, каждый из которых может включать в себя настройки для вашего устройства, а также сертификаты. Это профили конфигурации, управление мобильными устройствами и корпоративные приложения.

Как удалить ненужные профили сертификаты на товар

Внутри профиля вы можете увидеть, кем он подписан, и краткое описание. В некоторых случаях он может не быть подписан вообще, например, когда вы используете Apple Configurator 2 для создания собственного профиля для себя.

Если вы нажмете «Подробнее», вы увидите, что находится внутри профиля конфигурации, который обычно включает в себя «подписывающий» сертификат и иногда разрешения для настройки таких вещей, как внутренние настройки, конфигурации сотовой связи, информация о VPN и т. Д. Вы можете нажать на сертификаты для просмотра дополнительной информации о них.

В моем примере для профиля TweakBox есть обычный сертификат CA под названием «Apple Worldwide Certification Authority». Это не корневой сертификат, но он мне все еще не нужен.

Чтобы удалить профиль и сертификаты, вернитесь к просмотру профиля и нажмите «Удалить профиль». Введите пароль при появлении запроса, нажмите «Удалить», и корневой сертификат будет удален с вашего устройства. Выполнение этого также приведет к удалению всех разрешений, предоставленных в первую очередь, должно стереть все изменения настроек в профиле, а также удалит или заставит подключенные приложения работать.

Про сертификаты:  Гарантии — ООО Апрель

Для корпоративных приложений выберите профиль, затем нажмите «Удалить приложение», а затем «Удалить приложение» во всплывающем окне. Это удалит приложение и профиль предприятия. Вы также можете удалить корпоративное приложение на главном экране, как и любое другое приложение, и оно также удалит свой профиль, если к профилю не подключено более одного корпоративного приложения.

После удаления профиля и / или сертификатов ваша личная информация, такая как веб-активность и безопасные транзакции, больше не будет доступна организации, от которой вы ее получили, или обманом заставила вас установить ее.

Эта статья была подготовлена ​​во время специального освещения Gadget Hacks о конфиденциальности и безопасности смартфонов. Проверьте всю серию конфиденциальности и безопасности.

Кто в зоне риска

Трудности в пользовании интернетом в конце сентября 2021 г. возникнут в первую очередь у владельцев устаревших устройств, в настоящее время переставших получать обновления. В сегменте компьютеров Apple это все ПК и ноутбуки с операционной системой macOS до версии 10.12.

Что касается мобильных устройств, то проблема затронет все смартфоны и планшеты Apple с iOS 10 и старше. Чтобы все работало на Android-смартфонах, ОС должна быть обновлена минимум до версии 7.1.1

Также Скотт Хелме указывает, что значительной доли веб-сайтов и сервисов лишатся и геймеры, играющие на приставках Sony PlayStation 3 и 4 со старыми версиями прошивок. Портативная консоль Nintendo 3DS тоже останется без них, как и все компьютеры и ноутбуки на базе Ubuntu до версии 16.04 и Debian до версии 8.

Но даже на устройствах с современными прошивками и ОС интернет тоже может поломаться. Это произойдет, если пользователь серфит по Сети через браузер Firefox ниже версии 50. Это совсем древняя версия обозревателя – 23 сентября 2021 г. он обновился до 92.0.1.

Для примера, на май 2021 г. во всем мире было более 3 млрд активированных Android-устройств (статистика The Verge). Спустя еще три месяца, в августе 2021 г. из 3,68% из них работало на Android 7.0, еще 4,03% – на Android 6.0 (данные StatCounter). Даже если не учитывать еще более ранние версии ОС, то из-за устаревшего сертификата Let’s Encrypt проблемы с доступом к сайтам возникнут у владельцев более чем 213,3 млн устройств.

Не все профили сертификаты плохие

Apple использует свою собственную программу для распространения бета-версии iOS для разработчиков и публичных бета-тестеров, которые затем устанавливают комбинацию профиля и сертификата, и можно с уверенностью сказать, что вы можете продолжать использовать эти бета-версии, если вам нравится получать новые функции раньше всех.

Есть также такие службы, как FreedomPop, которые используют эти сертификаты для настройки параметров сотовой связи APN на вашем iPhone, чтобы предоставлять бесплатные или недорогие данные. Xfinity и LinkNYC используют профили, чтобы помочь пользователям подключаться к общедоступным точкам доступа Wi-Fi.

Как удалить ненужные профили и сертификаты на вашем iPhone, чтобы защитить вашу конфиденциальность и безопасность
FreedomPop изменяет настройки APN на устройстве, чтобы использовать его SIM-карту.

Разработчики также могут выпускать приложения, над которыми они работают, на ограниченном количестве устройств в своей сети, прежде чем пройти интенсивный процесс проверки Apple для распространения в App Store. Компании, школы и другие места, где раздают iPhone или iPad, могут использовать профили управления мобильными устройствами на контролируемых устройствах.

Кроме того, существуют инструменты, такие как Cydia Impactor, которые можно использовать для загрузки файлов IPA для таких полезных приложений, как Kodi, и они используют информацию о вашей учетной записи Apple ID, чтобы дать приложениям разрешение на запуск.

Про сертификаты:  Регистрационное удостоверение на медицинские изделия, оборудование в 2020 году

Для получения информации о том, как сертификаты работают на платформе Apple, ознакомьтесь с описанием цифровых сертификатов Apple в справочнике по криптографии.

Решено – корневой сертификат и iphone

§

Сведения о хранилище доверия и сертификатах

В каждом перечисленном ниже хранилище доверия macOS содержится три категории сертификатов:

  • Доверенные сертификаты устанавливают цепочку доверия для проверки других сертификатов, подписанных доверенными корнями (например, для установки безопасного соединения с веб-сервером). Когда ИТ-администраторы создают профили конфигурации для ОС macOS, нет необходимости включать эти доверенные корневые сертификаты.
  • Недоверенные сертификаты ненадежны, но они не блокируются. Если используется один из таких сертификатов, пользователю будет предложено выбрать, доверять ему или нет.
  • Заблокированные сертификаты считаются опасными и никогда не будут доверенными.

Список доступных доверенных корневых сертификатов в ос tvos 11

Хранилище доверия ОС tvOS содержит доверенные корневые сертификаты, предварительно установленные с ОС tvOS.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: 06 августа 2021 г.

Способы решения

Let’s Encrypt осведомлена о сложившейся ситуации. На данный момент она смогла решить проблему только для устройств на базе Android версий от 2.3.6 до 7.1. Однако решение носит временный характер – она получила кросс-подпись для нового промежуточного сертификата, действие которого прекратится в 2024 г. На все остальные устройства из перечисленных оно не распространяется.

Также можно попытаться обновить прошивку устройства или установить более свежую ОС, если такая возможность присутствует. К примеру, для многих старых Android-смартфонов существуют кастомные прошивки на базе современных версий ОС.

Самый очевидный способ не лишиться интернета – это отказаться от использования устаревшего гаджета и заменить его актуальной моделью. четвертый способ подсказали специалисты портала Android Police. Они советуют использовать современную версию браузера Firefox, поскольку у него есть собственное хранилище актуальных корневых сертификатов.

Однако этот способ подойдет далеко не всем. Например, актуальная на 29 сентября 2021 г. версия Firefox для смартфонов поддерживала ОС Android не ниже версии 5.0 Nougat.

Требования к доверенным сертификатам в ios 13 и macos 10.15

Новые требования безопасности для сертификатов сервера TLS в iOS 13 и macOS 10.15.

Все сертификаты сервера TLS должны соответствовать следующим новым требованиям безопасности в iOS 13 и macOS 10.15.

  • Сертификаты сервера TLS и выдающие их центры сертификации, использующие ключи RSA, должны использовать ключи размером 2048 бит или более. Сертификаты, использующие ключи RSA размером менее 2048 бит, больше не считаются доверенными для сервера TLS.
  • Сертификаты сервера TLS и выдающие их центры сертификации должны использовать алгоритм хеширования из семейства SHA-2 для создания цифровой подписи. Подписанные сертификаты SHA-1 больше не являются доверенными для сервера TLS.
  • Сертификаты сервера TLS должны содержать имя сервера DNS с использованием расширения Subject Alternative Name сертификата. Имена DNS с использованием поля CommonName в сертификате больше не являются доверенными.

Кроме того, все сертификаты сервера TLS, выданные после 1 июля 2021 года (как указано в поле NotBefore в сертификате), должны отвечать следующим правилам.

  • Сертификаты сервера TLS должны включать расширение ExtendedKeyUsage (EKU), содержащее идентификатор объекта id-kp-serverAuth.
  • Срок действия сертификатов сервера TLS должен составлять 825 дней или менее (как указано в полях NotBefore и NotAfter в сертификате).

Соединения с серверами TLS, нарушающие эти новые требования, будут невозможны и могут привести к сбоям в сети, ошибкам в программах и невозможности загружать веб-сайты в браузере Safari в iOS 13 и macOS 10.15.

Дата публикации: 28 июня 2021 г.

Android ios Let{amp}amp;#039;s Encrypt linux windows интернет компьютер Сертификат смартфон
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат