Якщо Ви натрапили на цю статтю, напевно, у вас виникли проблеми з відтворенням відео в браузерах на смарт телевізорах Samsung, LG або інших марок.
При цьому ще буквально вчора все працювало, а сьогодні улюблений фільм або серіал на відомих ресурсах вже не відкривається.
Що робити, щоб мати змогу переглядати відео на сайтах?
Встановити спеціальні віджети (додатки) на смарт-тв для перегляду фільмів або серіалів з певних сайтів. Справа в тому, що програми використовують інший принцип комунікації з сайтами, на яких розташовані фільми та серіали, і наразі це єдиний спосіб повернути можливість перегляду кіно.
Якщо ви не знаєте, як це зробити самостійно, зверніться до нас і наші фахівці обов’язково допоможуть у цьому.
Що сталося?
Така ситуація виникла у власників застарілих моделей розумних телевізорів, випущених до 2015-2016 років. “Які ж вони застарілі?!” – скажете ви і будете праві. Технічно апарати ще пропрацюють із десяток років. Проблема у програмній частині, а точніше у сертифікатах безпеки, які використовуються пристроями для роботи з сайтами за протоколом HTTPS.
І так, давайте докладно розберемо, що сталося. Буде багато технічних термінів, але намагатимемося все пояснити простою людською мовою 🙂
Для прикладу зайдемо на сайт SmartTV.com.ua з комп’ютера та поглянемо на сертифікат, який він використовує:
Ми побачимо, що шлях сертифікації сайту починається з ISRG Root X1, і оскільки система (Windows 11), з якою ми зайшли на сайт, довіряє цьому сертифікату, то проблем при перегляді сайту не спостерігається. Чого не скажеш про інші, більш старі пристрої та операційні системи, встановлені на них.
Для підтвердження відкриємо цей сайт на телевізорі LG старого покоління. Ми побачимо наступну картинку, яка підтверджує той факт, що телевізор уже не розпізнає сертифікат ISRG Root X1 як довірений.
30 вересня 2021, 14:01:15 GMT закінчився термін дії кореневого сертифіката IdenTrust DST Root CA X3.
Після цього моменту ряд застарілих систем перестали довіряти сертифікатам, випущеним центром сертифікації Let’s Encrypt. Враховуючи те, що на даний момент Let’s Encrypt надає безкоштовні криптографічні сертифікати приблизно для 250 мільйонів доменних імен, а “застарілі системи” – це часом системи віком всього 5-6 років, то закінчення терміну дії сертифіката DST Root CA X3 не пройшло непомітно.
Трохи теорії та історії
Не заглиблюючись у деталі, кілька слів для нефахівців, чому закінчення терміну дії сертифіката DST Root CA X3 вплине на сертифікати, випущені Let’s Encrypt. Кожна система, що перевіряє сертифікат на валідність, має своє сховище довірених кореневих сертифікатів. Система під час перевірки буде довіряти сертифікатам, які підписані з використанням закритого ключа одного з цих кореневих сертифікатів. Самі кореневі сертифікати зазвичай мають тривалі терміни дії, змінюються рідко і не використовуються при формуванні сертифікатів кінцевого суб’єкта (в даному випадку, сертифікатів для доменних імен), натомість інфраструктура відкритих ключів, передбачає використання ланцюжків довіри – кореневі сертифікати застосовуються для підписання проміжних а вже з їх використанням підписуються сертифікати кінцевого суб’єкта (сертифікати для доменів). При цьому, щоб система довіряла кінцевому сертифікату, вона повинна бути здатна простежити весь ланцюжок від цього сертифіката до одного з кореневих сертифікатів, яким вона довіряє.
Після появи проекту Let’s Encrypt, його кореневий сертифікат ISRG Root X1 (як і будь-який новий кореневий сертифікат) не міг швидко потрапити до сховищ довірених сертифікатів помітної кількості систем. При цьому для успішного функціонування проекту виданим сертифікатам із самого початку мало довіряти максимальна кількість систем “з коробки” (без додаткових дій з боку користувачів цих систем). У зв’язку з цим, для сертифікатів Let’s Encrypt став використовуватися ланцюжок довіри, що веде до кореневого сертифіката DST Root CA X3, який визнається більшістю систем:
- Windows >= XP SP3
- macOS (більшість версій)
- iOS (більшість версій)
- Android >= v2.3.6
- Mozilla Firefox >= v2.0
- Ubuntu >= precise / 12.04
- Debian >= squeeze / 6
- Java 8 >= 8u101
- Java 7 >= 7u111
- NSS >= v3.11.9
- Amazon FireOS (Silk Browser)
- Cyanogen > v10
- Jolla Sailfish OS > v1.1.2.16
- Kindle > v3.4.1
- Blackberry >= 10.3.3
- PS4 game console with firmware >= 5.00
На даний момент кореневий сертифікат ISRG Root X1 існує вже більше 5 років і за цей час потрапив у довірені в більшості сучасних систем, йому довіряють:
- Windows >= XP SP3 (за умови, що відувалось автоматично оновлення кореневих сертифікатів)
- macOS >= 10.12.1
- iOS >= 10
- Android >= 7.1.1
- Mozilla Firefox >= 50.0
- Ubuntu >= xenial / 16.04 (зі встановленими оновленнями)
- Debian >= jessie / 8 (зі встановленими оновленнями)
- Java 8 >= 8u141
- Java 7 >= 7u151
- NSS >= 3.26
Для сертифікатів Let’s Encrypt за замовчуванням в даний момент пропонується такий ланцюжок довіри:
IdenTrust’s DST Root CA X3 -> ISRG Root X1 -> Let’s Encrypt R3 -> Кінцевий сертифікат користувача
Що сталося 30 вересня?
Термін дії DST Root CA X3 добіг кінця 30 вересня 2021 14:01:15 GMT, що ж сталося після цього?
Ті системи, які не довіряють ISRG Root X1, перестали довіряти сертифікатам, випущеним Let’s encrypt (системи будуть видавати попередження при відвідуванні сайтів, які використовують сертифікати Let’s Encrypt). Крім Android >= v2.3.6, оскільки Android не враховує термін дії своїх довірених кореневих сертифікатів.
Проблема з довірою виникла також у систем, що використовують OpenSSL версії менше 1.1.0. Навіть якщо у таких систем ISRG Root X1 входить до списку довірених сертифікатів, особливість перевірки сертифіката в OpenSSL 1.0.x призведе до того, що наявність у ланцюжку DST Root CA X3, що минув, незважаючи на наявність довіри до ISRG Root X1, буде призводити до негативної перевірки на довіру. Аналогічна проблема у OpenSSL 1.0.x виникла 20 травня 2020 року зі сертифікатом AddTrust External CA Root.
Як оновити сертифікат на телевізорі?
Самостійно – ніяк. Виробники телевізора повинні випустити оновлення для пристрою, який може виправити ситуацію. Чесно сказати – ми мало у це віримо, але дуже сподіваємось.
В статті використанні матеріали habr.com
