HTTPS/2021 루트 만료를 암호화합시다
이것은 무엇입니까?
이것은 우리를 포함하여 특정 사이트에 연결하는 매우 오래된 클라이언트가 직면하는 특별한 HTTPS 호환성 문제에 관한 것입니다!
2021년 9월 30일 UTC 14시 경에 많은 이전 클라이언트에 포함되어 있던 아주 오래된 루트 인증서가 만료되어 무효화됩니다. 이러한 클라이언트의 경우 이 인증서는 암호화합시다에서 발급한 서버 인증서와 호환되는 유일한 메커니즘이었습니다. 이것은 이제 오랫동안 어렴풋이 드러난 복잡한 기술적인 문제입니다. 실제 사용자에 대한 영향을 최소화하기 위해 날짜가 가까워짐에 따라 "암호화합시다"는 다양한 독창적인 완화 조치를 취했습니다. 불행히도 일부 덜 일반적인 경우에 피할 수 없는 영향이 있을 것입니다!
재단 프로젝트(위키백과 포함)는 일부 말단 서버에서 Let's Encrypt 인증서를 사용하므로 이러한 영향은 우리 프로젝트의 소수의 사용자에게 영향을 미치지만 이 문제는 우리 프로젝트에만 국한되지 않습니다. Let's Encrypt는 인터넷을 통해 수백만 개의 도메인을 보호하므로 이 만료 영향은 상당히 광범위하게 느껴지며 영향을 받는 클라이언트는 차단 날짜 이후 일반적으로 인터넷에서 제대로 작동하지 않습니다.
이 문제를 뒷받침하는 복잡한 기술 세부 사항에 대한 자세한 내용은 해당 주제에 대한 스콧 헬름의 광범위한 블로그 게시물을 참조하세요.
또한 클라우드 메일링 리스트에서 위키미디어 이메일 메시지를 읽으세요.
호환성 문제
넓은 의미에서, 지난 5년 동안 업데이트된 대부분의 소프트웨어는 영향을 받지 않아야 하며 2011년 이후에 만들어진 대부분의 하드웨어 장치는 필요한 소프트웨어 업그레이드가 가능해야 합니다. 다음은 2021년 9월 30일에 당사 사이트에 연결하는 새로운 호환성 문제에 직면할 수 있는 다양한 플랫폼에서 우리가 알고 있는 특정 사례입니다:
안드로이드
우리가 아는 한, 현재 안드로이드 지원 수준은 대략 버전 4.4 이상에서 변경되지 않은 상태로 유지되어야 합니다(컷오프는 공급업체 OS 사용자 정의 및/또는 대체 브라우저 설치로 인해 약간 다를 수 있음).
iOS
iOS 9는 이 만료의 영향을 받으므로 사용자는 약 2016년에 출시된 iOS 10(또는 이후 버전)으로 업그레이드해야 합니다. 아이폰 5(약 2012년에 출시됨) 및 모든 이후 휴대폰은 iOS 10 또는 나중에. 영향을 받는 기본 장치는 아이폰 4S의 나머지 사용자이며 iOS 9 이상으로 업그레이드할 수 없습니다. 4S 이전의 모든 아이폰은 이미 위키미디어의 현재 TLS 구성과 호환되지 않습니다.
맥OS
맥OS 버전 10.11(엘 캐피탄)은 이 만료의 영향을 받으므로 사용자는 약 2016년에 출시되었으며 2011년 이후 만들어진 대부분의 맥 하드웨어를 지원하는 맥OS 10.12.1(시에라) 이상으로 업그레이드해야 합니다. 모든 맥OS 이전 버전 10.11 이상은 이미 위키미디어의 현재 TLS 구성과 호환되지 않습니다.
맥 컴퓨터를 맥OS 시에라 이상으로 업그레이드할 수 없는 경우 다른 옵션은 키체인 관리자에서 ISRG 루트 X1 인증서를 가져와 신뢰할 수 있는 것으로 표시하는 것입니다.
윈도우
특별한 새로운 문제는 없지만 XP 및 비스타는 보안 지원이 훨씬 떨어져 권장되지 않으며 추가 호환성 문제에 직면할 수 있다는 점을 다시 강조해야 합니다(자세한 내용은 위키기술:HTTPS/브라우저_권장사항 참조).
OpenSSL
OpenSSL 라이브러리를 사용하는 리눅스 및 기타 오픈 소스 운영 체제에서 OpenSSL 버전 1.0.2 및 이전 버전은 이 인증서 만료에 문제가 있을 수 있습니다. 필요한 경우 OpenSSL을 업데이트하지 않고도 이러한 문제를 완화할 수 있으며 OpenSSL 프로젝트에는 이 주제에 대한 광범위한 정보가 있습니다. 영향을 받는 운영 체제에는 데비안 7 위지, 우분투 16.04 제니얼 및 유사한 시대의 기타(최초 출시 ~5년 이상)가 포함됩니다.
위에 링크된 OpenSSL 블로그 게시물이 도움이 되지 않으면 다음과 같은 일화적인 해결 방법이 있습니다:
자바
2017년 7월에 출시된 8u141 이전의 공식 자바 8 업데이트는 이 만료의 영향을 받아 일부 봇 및 사이트에 액세스하는 기타 자동화에 영향을 미칠 수 있습니다. 대체 자바 구현(예: 오픈 소스 구현)에는 유사한 버전 타임라인 문제가 있을 수 있으며 이를 해결하기 위해 공급업체 업데이트를 사용할 수 있어야 합니다.