Op Saterdag, 30 Mei 2020, het 'n nie onmiddellik duidelike probleem ontstaan met gewilde SSL / TLS-sertifikate van die verkoper Sectigo (voormalige Comodo). Die sertifikate self het steeds in perfekte orde gebly, maar een van die intermediêre CA-sertifikate in die kettings waarmee hierdie sertifikate voorsien is, het vrot geraak. Die situasie is nie om te sê dat dit noodlottig is nie, maar onaangenaam: die huidige weergawes van blaaiers het niks opgemerk nie, maar die meeste outomatiserings en ou blaaiers / OS was nie gereed vir so 'n draai nie.
Habr was geen uitsondering nie, en daarom is hierdie opvoedkundige program / nadoodse ondersoek geskryf.
TL; DR Oplossing heel aan die einde.
Kom ons slaan die basiese teorie oor PKI, SSL / TLS, https en meer oor. Die meganika van stawing met 'n domeinsekuriteitsertifikaat is om 'n ketting van 'n aantal sertifikate te bou tot een van dié wat deur die blaaier of bedryfstelsel vertrou word, wat in die sogenaamde Trust Store gestoor word. Hierdie lys word saam met die bedryfstelsel, kode-looptyd-ekosisteem of blaaier versprei. Enige sertifikate het 'n vervaldatum waarna dit as onbetroubaar beskou word, insluitend sertifikate in die trustwinkel. Hoe het die vertrouesketting gelyk voor die noodlottige dag? 'n Webhulpprogram sal ons help om dit uit te vind van Qualys.
Dus, een van die gewildste "kommersiële" sertifikate is Sectigo Positive SSL (voorheen Comodo Positive SSL, sertifikate met hierdie naam word steeds gebruik), dit is die sogenaamde DV-sertifikaat. DV is die mees primitiewe vlak van sertifisering, wat beteken verifikasie van toegang tot domeinbestuur deur die uitreiker van so 'n sertifikaat. Eintlik staan DV vir "domain validation". Ter verwysing: daar is ook OV (organisasie validering) en EV (uitgebreide validering), en 'n gratis sertifikaat van Let's Encrypt is ook DV. Vir diegene wat om een of ander rede nie tevrede is met die ACME-meganisme nie, is die Positiewe SSL-produk die mees geskikte in terme van prys / kenmerke ('n enkeldomeinsertifikaat kos ongeveer 5-7 dollar per jaar met 'n totale sertifikaatgeldigheidstydperk van op tot 2 jaar en 3 maande).
Die Sectigo DV Generiese Sertifikaat (RSA) het tot onlangs saam met hierdie ketting van intermediêre CA's gekom:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityDaar is geen "derde sertifikaat", selfonderteken van AddTrust AB, aangesien dit op 'n sekere tydstip as slegte maniere beskou word om selfondertekende wortelsertifikate in kettings in te sluit. Let daarop dat die intermediêre CA wat deur AddTrust se UserTrust uitgereik is, 'n vervaldatum van 30 Mei 2020 het. Dit is nie maklik nie, aangesien 'n ontmantelingsprosedure vir hierdie GR beplan is. Daar is geglo dat teen 30 Mei 2020 'n kruisgetekende sertifikaat van UserTrust teen hierdie tyd in alle trustwinkels sal verskyn (onder die kap is dit dieselfde sertifikaat, of eerder 'n publieke sleutel) en die ketting, selfs met die reeds onbetroubare sertifikaat ingesluit, sal alternatiewe paaie bou en niemand sal dit agterkom nie. Die planne het egter in die werklikheid ingestort, naamlik die lang term “legacy systems”. Inderdaad, die eienaars van huidige weergawes van blaaiers het niks opgemerk nie, maar die berg van outomatisering gebou op krul- en ssl / tls-biblioteke van 'n aantal programmeertale en kode-uitvoering-omgewings het gebreek. Dit moet verstaan word dat baie produkte nie gelei word deur die kettingbou-instrumente wat in die bedryfstelsel ingebou is nie, maar hul trustwinkel saam met hulle "dra". En hulle bevat nie altyd wat hulle graag wil sien nie. . En in Linux word pakkette soos ca-sertifikate nie altyd opgedateer nie. Op die ou end lyk dit of alles in orde is, maar iets werk nie hier en daar nie.
Uit Figuur 1 is dit duidelik dat alhoewel alles vir die oorgrote meerderheid normaal gelyk het, iets vir iemand gebreek het en die verkeer merkbaar gedaal het (linker rooi lyn), dan het dit gegroei toe een van die sleutelsertifikate vervang is (regter lyn). Daar was bars in die middel, wanneer ander sertifikate verander is, waarvan iets ook afgehang het. Aangesien alles vir die meerderheid visueel min of meer gereeld bly werk het (met die uitsondering van vreemde foute soos die onmoontlikheid om prente op Habrastorage te laai), kan ons 'n indirekte gevolgtrekking maak oor die aantal nalatenskapkliënte en bots op Habré.
Figuur 1. Grafiek van "verkeer" op Habré.
Figuur 2 wys hoe 'n "alternatiewe" ketting in huidige weergawes van blaaiers gebou word na 'n betroubare CA-sertifikaat in die gebruiker se blaaier, selfs al is daar 'n "vrot" sertifikaat in die ketting. Dit, soos Sectigo self geglo het, is juis die rede om niks te doen nie.
Figuur 2. Ketting aan 'n betroubare sertifikaat vir 'n moderne blaaierweergawe.
Maar in Figuur 3 kan jy sien hoe alles regtig lyk wanneer iets verkeerd geloop het en ons 'n nalatenskapstelsel het. In hierdie geval is die HTTPS-verbinding nie tot stand gebring nie en sien ons 'n fout soos "sertifikaatvalidering misluk" of soortgelyk.
Figuur 3. Die ketting is ongeldig omdat die wortelsertifikaat en die middel wat daardeur onderteken is, "vrot" was.
In Figuur 4 sien ons reeds 'n "oplossing" vir nalatenskapstelsels: daar is nog 'n intermediêre sertifikaat, of eerder 'n "kruishandtekening" van 'n ander CA, wat gewoonlik vooraf geïnstalleer is in verouderde stelsels. Dit is wat jy moet doen: vind hierdie sertifikaat (wat as Ekstra aflaai gemerk is) en vervang die "vrot" een daarmee.
Figuur 4. Alternatiewe ketting vir nalatenskapstelsels.
Terloops: die probleem het nie wye publisiteit en 'n soort openbare bespreking gehad nie, ook weens die oormatige arrogansie van Sectigo. Hier is byvoorbeeld die mening van een van die sertifikaatverskaffers in tot hierdie situasie:
Voorheen hulle [Sectigo] het almal verseker dat geen probleme sal wees nie. Die realiteit is egter dat sommige ou bedieners/toestelle geraak word.
Dit is 'n belaglike situasie. Ons het hul aandag verskeie kere binne 'n jaar op die AddTrust RSA/ECC wat verval, gewys en elke keer het Sectigo ons verseker dat daar geen probleme sal wees nie.
Ek het persoonlik gevra op Stack Overflow 'n maand gelede hieroor, maar blykbaar is die gehoor van die projek nie baie geskik vir sulke vrae nie, so ek moes dit self na die ontleding beantwoord.
sektigo Daar is 'n algemene vrae oor hierdie onderwerp, maar dit is so onleesbaar en lank dat dit onmoontlik is om dit te gebruik. Hier is 'n aanhaling wat die kern van die hele publikasie is:
Wat u moet doen
Vir die meeste gebruiksgevalle, insluitend sertifikate wat moderne kliënt- of bedienerstelsels bedien, is geen aksie nodig nie, of jy sertifikate uitgereik het wat geketting is aan die AddTrust-wortel of nie.Vanaf 30 April 2020: Vir besigheidsprosesse wat afhanklik is van baie ou stelsels, het Sectigo (by verstek in die sertifikaatbundels) 'n nuwe erfeniswortel vir kruisondertekening beskikbaar gestel, die "AAA Certificate Services"-wortel. Wees egter uiters versigtig oor enige proses wat afhang van baie ou nalatenskapstelsels. Stelsels wat nie die opdaterings ontvang het wat nodig is om nuwer wortels te ondersteun nie, soos Sectigo se COMODO-wortel, sal onvermydelik ander noodsaaklike sekuriteitsopdaterings ontbreek en moet as onseker beskou word. As jy steeds wil kruisteken na die AAA-sertifikaatdienste-wortel, kontak asseblief Sectigo direk.
Ek hou natuurlik baie van die "baie ou" tesis. Krul byvoorbeeld in die konsole van Ubuntu Linux 18.04 LTS (ons basis-bedryfstelsel op die oomblik) met die nuutste opdaterings wat nie ouer as 'n maand is nie, dit is moeilik om baie oud te noem, maar dit werk nie.
Die meeste sertifikaatverspreiders het hul besluitnotas laatmiddag van 30 Mei vrygestel. Byvoorbeeld, baie geskik in tegniese terme van (met 'n spesifieke beskrywing van wat om te doen en met klaargemaakte CA-bundels in zip-argiewe, maar slegs RSA):
Figuur 5. Sewe stappe om dinge vinnig reg te stel.
Daar is van Redhat, maar daar is meer en meer Legacy en jy moet 'n selfs meer wortel nalatenskapsertifikaat van Comodo installeer sodat alles kan werk.
besluit
Dit is die moeite werd om die oplossing ook hier te dupliseer. Hieronder is twee stelle kettings vir sertifikate DV Sectigo (nie Comodo nie!), een vir die bekende RSA-sertifikate, die ander vir die minder bekende ECC (ECDSA)-sertifikate (ons gebruik al lankal twee kettings). Met ECC was dit moeiliker, aangesien die meeste oplossings nie die teenwoordigheid van sulke sertifikate in ag neem nie weens hul lae voorkoms. Gevolglik is die vereiste tussentydse sertifikaat gevind op .
Ketting vir sertifikate gebaseer op sleutelalgoritme RSA. Vergelyk met jou ketting en let op dat slegs die onderste sertifikaat vervang is, terwyl die boonste een dieselfde gebly het. Ek onderskei hulle by die huis deur die laaste drie karakters van base64-blokke, sonder om die "gelyke" karakter te tel (in hierdie geval En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----
MIIGEzCCA/ugAwIBAgIQfVtRJrR2uhHbdBYLvFMNpzANBgkqhkiG9w0BAQwFADCB
iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0pl
cnNleSBDaXR5MR4wHAYDVQQKExVUaGUgVVNFUlRSVVNUIE5ldHdvcmsxLjAsBgNV
BAMTJVVTRVJUcnVzdCBSU0EgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTgx
MTAyMDAwMDAwWhcNMzAxMjMxMjM1OTU5WjCBjzELMAkGA1UEBhMCR0IxGzAZBgNV
BAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4GA1UEBxMHU2FsZm9yZDEYMBYGA1UE
ChMPU2VjdGlnbyBMaW1pdGVkMTcwNQYDVQQDEy5TZWN0aWdvIFJTQSBEb21haW4g
VmFsaWRhdGlvbiBTZWN1cmUgU2VydmVyIENBMIIBIjANBgkqhkiG9w0BAQEFAAOC
AQ8AMIIBCgKCAQEA1nMz1tc8INAA0hdFuNY+B6I/x0HuMjDJsGz99J/LEpgPLT+N
TQEMgg8Xf2Iu6bhIefsWg06t1zIlk7cHv7lQP6lMw0Aq6Tn/2YHKHxYyQdqAJrkj
eocgHuP/IJo8lURvh3UGkEC0MpMWCRAIIz7S3YcPb11RFGoKacVPAXJpz9OTTG0E
oKMbgn6xmrntxZ7FN3ifmgg0+1YuWMQJDgZkW7w33PGfKGioVrCSo1yfu4iYCBsk
Haswha6vsC6eep3BwEIc4gLw6uBK0u+QDrTBQBbwb4VCSmT3pDCg/r8uoydajotY
uK3DGReEY+1vVv2Dy2A0xHS+5p3b4eTlygxfFQIDAQABo4IBbjCCAWowHwYDVR0j
BBgwFoAUU3m/WqorSs9UgOHYm8Cd8rIDZsswHQYDVR0OBBYEFI2MXsRUrYrhd+mb
+ZsF4bgBjWHhMA4GA1UdDwEB/wQEAwIBhjASBgNVHRMBAf8ECDAGAQH/AgEAMB0G
A1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjAbBgNVHSAEFDASMAYGBFUdIAAw
CAYGZ4EMAQIBMFAGA1UdHwRJMEcwRaBDoEGGP2h0dHA6Ly9jcmwudXNlcnRydXN0
LmNvbS9VU0VSVHJ1c3RSU0FDZXJ0aWZpY2F0aW9uQXV0aG9yaXR5LmNybDB2Bggr
BgEFBQcBAQRqMGgwPwYIKwYBBQUHMAKGM2h0dHA6Ly9jcnQudXNlcnRydXN0LmNv
bS9VU0VSVHJ1c3RSU0FBZGRUcnVzdENBLmNydDAlBggrBgEFBQcwAYYZaHR0cDov
L29jc3AudXNlcnRydXN0LmNvbTANBgkqhkiG9w0BAQwFAAOCAgEAMr9hvQ5Iw0/H
ukdN+Jx4GQHcEx2Ab/zDcLRSmjEzmldS+zGea6TvVKqJjUAXaPgREHzSyrHxVYbH
7rM2kYb2OVG/Rr8PoLq0935JxCo2F57kaDl6r5ROVm+yezu/Coa9zcV3HAO4OLGi
H19+24rcRki2aArPsrW04jTkZ6k4Zgle0rj8nSg6F0AnwnJOKf0hPHzPE/uWLMUx
RP0T7dWbqWlod3zu4f+k+TY4CFM5ooQ0nBnzvg6s1SQ36yOoeNDT5++SR2RiOSLv
xvcRviKFxmZEJCaOEDKNyJOuB56DPi/Z+fVGjmO+wea03KbNIaiGCpXZLoUmGv38
sbZXQm2V0TP2ORQGgkE49Y9Y3IBbpNV9lXj9p5v//cWoaasm56ekBYdbqbe4oyAL
l6lFhd2zi+WJN44pDfwGF/Y4QA5C5BIG+3vzxhFoYt/jmPQT2BVPi7Fp2RBgvGQq
6jG35LWjOhSbJuMLe/0CjraZwTiXWTb2qHSihrZe68Zk6s+go/lunrotEbaGmAhY
LcmsJWTyXnW0OMGuf1pGg+pRyrbxmRE1a6Vqe8YAsOf4vmSyrcjC8azjUeqkk+B5
yOGBQMkKW+ESPMFgKuOXwIlCypTPRpgSabuY0MLTDXJLR27lk8QyKGOHQ+SwMj4K
00u/I5sUKUErmgQfky3xxzlIPK1aEn8=
-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----
MIIFgTCCBGmgAwIBAgIQOXJEOvkit1HX02wQ3TE1lTANBgkqhkiG9w0BAQwFADB7
MQswCQYDVQQGEwJHQjEbMBkGA1UECAwSR3JlYXRlciBNYW5jaGVzdGVyMRAwDgYD
VQQHDAdTYWxmb3JkMRowGAYDVQQKDBFDb21vZG8gQ0EgTGltaXRlZDEhMB8GA1UE
AwwYQUFBIENlcnRpZmljYXRlIFNlcnZpY2VzMB4XDTE5MDMxMjAwMDAwMFoXDTI4
MTIzMTIzNTk1OVowgYgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5
MRQwEgYDVQQHEwtKZXJzZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBO
ZXR3b3JrMS4wLAYDVQQDEyVVU0VSVHJ1c3QgUlNBIENlcnRpZmljYXRpb24gQXV0
aG9yaXR5MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAgBJlFzYOw9sI
s9CsVw127c0n00ytUINh4qogTQktZAnczomfzD2p7PbPwdzx07HWezcoEStH2jnG
vDoZtF+mvX2do2NCtnbyqTsrkfjib9DsFiCQCT7i6HTJGLSR1GJk23+jBvGIGGqQ
Ijy8/hPwhxR79uQfjtTkUcYRZ0YIUcuGFFQ/vDP+fmyc/xadGL1RjjWmp2bIcmfb
IWax1Jt4A8BQOujM8Ny8nkz+rwWWNR9XWrf/zvk9tyy29lTdyOcSOk2uTIq3XJq0
tyA9yn8iNK5+O2hmAUTnAU5GU5szYPeUvlM3kHND8zLDU+/bqv50TmnHa4xgk97E
xwzf4TKuzJM7UXiVZ4vuPVb+DNBpDxsP8yUmazNt925H+nND5X4OpWaxKXwyhGNV
icQNwZNUMBkTrNN9N6frXTpsNVzbQdcS2qlJC9/YgIoJk2KOtWbPJYjNhLixP6Q5
D9kCnusSTJV882sFqV4Wg8y4Z+LoE53MW4LTTLPtW//e5XOsIzstAL81VXQJSdhJ
WBp/kjbmUZIO8yZ9HE0XvMnsQybQv0FfQKlERPSZ51eHnlAfV1SoPv10Yy+xUGUJ
5lhCLkMaTLTwJUdZ+gQek9QmRkpQgbLevni3/GcV4clXhB4PY9bpYrrWX1Uu6lzG
KAgEJTm4Diup8kyXHAc/DVL17e8vgg8CAwEAAaOB8jCB7zAfBgNVHSMEGDAWgBSg
EQojPpbxB+zirynvgqV/0DCktDAdBgNVHQ4EFgQUU3m/WqorSs9UgOHYm8Cd8rID
ZsswDgYDVR0PAQH/BAQDAgGGMA8GA1UdEwEB/wQFMAMBAf8wEQYDVR0gBAowCDAG
BgRVHSAAMEMGA1UdHwQ8MDowOKA2oDSGMmh0dHA6Ly9jcmwuY29tb2RvY2EuY29t
L0FBQUNlcnRpZmljYXRlU2VydmljZXMuY3JsMDQGCCsGAQUFBwEBBCgwJjAkBggr
BgEFBQcwAYYYaHR0cDovL29jc3AuY29tb2RvY2EuY29tMA0GCSqGSIb3DQEBDAUA
A4IBAQAYh1HcdCE9nIrgJ7cz0C7M7PDmy14R3iJvm3WOnnL+5Nb+qh+cli3vA0p+
rvSNb3I8QzvAP+u431yqqcau8vzY7qN7Q/aGNnwU4M309z/+3ri0ivCRlv79Q2R+
/czSAaF9ffgZGclCKxO/WIu6pKJmBHaIkU4MiRTOok3JMrO66BQavHHxW/BBC5gA
CiIDEOUMsfnNkjcZ7Tvx5Dq2+UUTJnWvu6rvP3t3O9LEApE9GQDTF1w52z97GA1F
zZOFli9d31kWTz9RvdVFGD/tSo7oBmF0Ixa1DVBzJ0RHfxBdiSprhTEUxOipakyA
vGp4z7h/jnZymQyd/teRCBaho1+V
-----END CERTIFICATE-----Ketting vir sertifikate gebaseer op sleutelalgoritme ECC. Net so met die ketting vir RSA is slegs die onderste sertifikaat vervang, terwyl die boonste een dieselfde gebly het (in hierdie geval fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Dis nogal dit. Dankie vir jou aandag.
Bron: will.com