ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > የAddTrust root ሰርተፍኬት መቋረጥ በOpenSSL እና GnuTLS ስርዓቶች ላይ ብልሽቶችን ያስከትላል

የAddTrust root ሰርተፍኬት መቋረጥ በOpenSSL እና GnuTLS ስርዓቶች ላይ ብልሽቶችን ያስከትላል

በሜይ 30፣ የስር ሰርተፍኬቱ የ20-ዓመት ተቀባይነት ጊዜ አልፎበታል። AddTrust, እሱም ተተግብሯል ከትላልቅ የምስክር ወረቀት ባለሥልጣኖች ሴክቲጎ (ኮሞዶ) የምስክር ወረቀቶች ጋር ተሻጋሪ ፊርማ ለመፍጠር። አቋራጭ መፈረም አዲሱ USERTRust ስርወ ሰርተፍኬት ወደ ስርወ ሰርቲፊኬት ማከማቻቸው ካልተጨመሩ የቆዩ መሳሪያዎች ጋር እንዲስማማ ተፈቅዶለታል።

የAddTrust root ሰርተፍኬት መቋረጥ በOpenSSL እና GnuTLS ስርዓቶች ላይ ብልሽቶችን ያስከትላል

በንድፈ ሀሳብ፣ የAddTrust ስርወ ሰርተፍኬት መቋረጥ ከቆዩ ስርዓቶች (አንድሮይድ 2.3፣ ዊንዶውስ ኤክስፒ፣ ማክ ኦኤስ ኤክስ 10.11፣ iOS 9፣ ወዘተ) ጋር ተኳሃኝነትን ወደ መጣስ ብቻ ሊያመራ ይገባል፣ ምክንያቱም በመስቀል-ፊርማ ውስጥ ጥቅም ላይ የዋለው ሁለተኛው የስር ሰርተፍኬት ይቀራል። ትክክለኛ እና ዘመናዊ አሳሾች የመተማመንን ሰንሰለት ሲፈትሹ ግምት ውስጥ ያስገባሉ። በተግባር ላይ ታየ በOpenSSL 1.0.x እና GnuTLS ላይ የተመሰረቱትን ጨምሮ አሳሽ ባልሆኑ የTLS ደንበኞች ውስጥ ፊርማ ማቋረጫ ላይ ያሉ ችግሮች። ደህንነቱ የተጠበቀ ግንኙነት ከአሁን በኋላ አገልጋዩ የሴክቲጎ ሰርተፍኬት ከAdTrust root የእውቅና ማረጋገጫ ጋር የተገናኘ የሴክቲጎ ሰርተፍኬት እየተጠቀመ ከሆነ የእውቅና ማረጋገጫው ጊዜው ያለፈበት መሆኑን ከሚያመለክት ስህተት ጋር አይመሰረትም።

የዘመናዊ አሳሾች ተጠቃሚዎች በመስቀል የተፈረሙ የሴክቲጎ ሰርተፍኬቶችን ሲያካሂዱ የAdTrust root ሰርተፍኬት ጊዜ ያለፈበት መሆኑን ካላስተዋሉ በተለያዩ የሶስተኛ ወገን አፕሊኬሽኖች እና የአገልጋይ ወገን ተቆጣጣሪዎች ላይ ችግሮች ብቅ ማለት ጀመሩ ይህም ወደ መጣስ работы በንጥረ ነገሮች መካከል መስተጋብር ለመፍጠር ኢንክሪፕት የተደረጉ የመገናኛ መንገዶችን የሚጠቀሙ ብዙ መሰረተ ልማቶች።

ለምሳሌ, ነበሩ проблемы በዲቢያን እና በኡቡንቱ ውስጥ አንዳንድ የጥቅል ማከማቻዎችን ማግኘት (አፕቲ የምስክር ወረቀት ማረጋገጫ ስህተት ማመንጨት ጀምሯል) የ"curl" እና ​​"wget" መገልገያዎችን በመጠቀም ከስክሪፕቶች የሚቀርቡ ጥያቄዎች ውድቅ ጀመሩ፣ Git ሲጠቀሙ ስህተቶች ተስተውለዋል፣ ተጥሷል የRoku ዥረት መድረክ እየሰራ ነው፣ ተቆጣጣሪዎች ከአሁን በኋላ አይጠሩም። ሰንበር и DataDog፣ ተጀመረ ብልሽቶች ይከሰታሉ በ Heroku መተግበሪያዎች ውስጥ ፣ አቁመዋል OpenLDAP ደንበኞች ይገናኛሉ፣ መልዕክት ወደ SMTPS እና SMTP አገልጋዮች ከSTARTTLS ጋር በመላክ ላይ ችግሮች ተገኝተዋል። በተጨማሪም፣ ከhttp ደንበኛ ጋር ሞጁሉን በሚጠቀሙ በተለያዩ የ Ruby፣ PHP እና Python ስክሪፕቶች ላይ ችግሮች ይስተዋላሉ። የአሳሽ ችግር ተጽዕኖ ያደርጋል የማስታወቂያ እገዳ ዝርዝሮችን መጫን ያቆመው ኤፒፋኒ።

Go ፕሮግራሞች በዚህ ችግር አይነኩም ምክንያቱም Go ያቀርባል የራሱን ትግበራ ቲኤልኤስ

ተብሎ ተገምቷል።ችግሩ የቆዩ የስርጭት ልቀቶችን (ዴቢያን 9ን፣ ኡቡንቱ 16.04ን ጨምሮ፣ RHEL 6/7) ችግር ያለባቸው OpenSSL ቅርንጫፎችን የሚጠቀሙ፣ ግን ችግሩ ራሱን ተገለጠ እንዲሁም APT የGnuTLS ቤተመፃህፍት ስለሚጠቀም የAPT ጥቅል አስተዳዳሪ በአሁኑ ጊዜ በዴቢያን 10 እና በኡቡንቱ 18.04/20.04 እትሞች ላይ ሲያሄድ። የችግሩ ዋና ነጥብ ብዙ የTLS/SSL ቤተ-መጻሕፍት ሰርተፍኬትን እንደ መስመራዊ ሰንሰለት መተንተን ነው፣ ነገር ግን በ RFC 4158 መሠረት፣ አንድ ሰርተፍኬት ታሳቢ ሊደረግባቸው የሚገቡ በርካታ የእምነት መልህቆች ያሉት የተከፋፈለ ክብ ግራፍ ሊወክል ይችላል። በOpenSSL እና GnuTLS ውስጥ ስላለው ስለዚህ ጉድለት ነበር የሚታወቅ ለብዙ አመታት. በ OpenSSL ችግሩ በቅርንጫፍ 1.1.1 እና በ ውስጥ ተስተካክሏል። gnuTLS ይቀራል ያልታረመ.

እንደ መፍትሄ፣ የ"AddTrust External CA Root" ሰርተፍኬትን ከስርዓት ማከማቻ (ለምሳሌ ከ/etc/ca-certificates.conf እና /etc/ssl/certs ን ያስወግዱ እና ከዚያ “update-ca) እንዲያሄዱ ይመከራል። -certificates -f -v")፣ ከዚያ በኋላ OpenSSL በተሳትፎ የተፈረሙ የምስክር ወረቀቶችን በመደበኛነት ማካሄድ ይጀምራል። የAPT ጥቅል አስተዳዳሪን ሲጠቀሙ፣ ለነጠላ ጥያቄዎች የምስክር ወረቀት ማረጋገጫ በራስዎ ኃላፊነት ማሰናከል ይችላሉ (ለምሳሌ፡- “apt-get update -o Acquire::https://download.jitsi.org:: አረጋግጥ-አቻ=false”) .

ውስጥ ያለውን ችግር ለማገድ Fedora и RHEL የAdTrust ሰርተፍኬትን ወደ ጥቁር መዝገብ ለመጨመር ታቅዷል፡-

trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/ addtrust-external-root.p11-kit
update-ca-እምነት ማውጣት

ግን ይህ ዘዴ አይሰራም ለ GnuTLS (ለምሳሌ፣ የwget መገልገያውን ሲያሄድ የምስክር ወረቀት ማረጋገጫ ስህተት መታየቱን ይቀጥላል)።

በአገልጋዩ በኩል ማድረግ ይችላሉ መለወጥ ትእዛዝ በአገልጋዩ ወደ ደንበኛው የላከው የእምነት ሰንሰለት ውስጥ የምስክር ወረቀቶችን መዘርዘር (ከ "AddTrust External CA Root" ጋር የተያያዘው የምስክር ወረቀት ከዝርዝሩ ውስጥ ከተወገደ የደንበኛው ማረጋገጫ የተሳካ ይሆናል)። ለመፈተሽ እና አዲስ የመተማመን ሰንሰለት ለማመንጨት አገልግሎቱን መጠቀም ይችላሉ። whatsmychaincert.com. ሴክቲጎ እንዲሁ የቀረበ ነው። ተለዋጭ ተሻጋሪ መካከለኛ የምስክር ወረቀት"የ AAA የምስክር ወረቀት አገልግሎቶችእስከ 2028 ድረስ የሚሰራ እና ከአሮጌው የስርዓተ ክወና ስሪቶች ጋር ተኳሃኝነትን የሚቀጥል ነው።

መደመር፡ ችግርም እንዲሁ ፕራይቬትስ በሊብሬኤስኤል.

ምንጭ: opennet.ru

አስተያየት ያክሉ