Стендап Сьогодні 📢 Канал в Telegram @stendap_sogodni
🤖🚫 AI-free content. This post is 100% written by a human, as is everything on my blog. Enjoy!03.03.2025
Звідки беруться кореневі сертифікати TLS?
🔐 Я в цьому каналі багато писав про безпеку, та конкретно в цьому пості — про ланцюг довіри. Але за що той ланцюг закріплений? Це фундаментальне питання безпеки. Якорем ланцюга є корінь авторитету — набір сертифікатів, якому ми довіряємо як аксіомі.
З одного боку, вкрай необхідно, щоб в наш корінь авторитету не потрапили зловмисні сертифікати. Причому на них не буде написано, що вони зловмисницькі! За означенням в нас немає можливості перевірити, чи є кореневий сертифікат “чесним” - тому вони повинні братися з надійного джерела.
З іншого, у світі кілька десятків агенцій, яким довірено видавати сертифікати, а також їхні кореневі сертифікати час від часу оновлюються. Отже, важливо, щоб корінь авторитету був повним та свіжим, інакше ми не будемо довіряти новим сертифікатам — це дуже реальна проблема старих систем.
Але не таких вже й старих! От я дізнався, що в стабільному Debian Bookworm корінь, який міститься в пакеті ca-certificates, від березня 2023!
В мене відразу зʼявилося питання — як же ж з ним люди в інтернет ходять? Виявилося, що як Chrome, так і Firefox використовують власні корені авторитету, а не системні. Тому проблеми через системні сертифікати відразу меншають — а для простих користувачів, певно, взагалі зникають.
Якщо копнути далі, то існує проєкт CCADB, в якому головні інтернет-оператори тримають каталог кореневих сертифікатів відповідно до суворих (та головне, задокументованих) вимог. Сертифікати цього проєкту можна завантажити та використати замість застарілих. Звісно, стає питання довіри, але якщо ще копнути, то той же ж пакет ca-certificates бере дані саме з бази Mozilla, так що на чомусь ця глобальна порука повинна замикатися.