Mayın 30-da kök sertifikatın 20 illik etibarlılıq müddəti başa çatıb Hansı Sectigo (Comodo) ən böyük sertifikatlaşdırma orqanlarından birinin çapraz imzalanmış sertifikatlarını yaratmaq. Çarpaz imzalama, kök sertifikat anbarına yeni USERTRust kök sertifikatı əlavə edilməyən köhnə cihazlarla uyğunluğa icazə verdi.
Teorik olaraq, AddTrust kök sertifikatının ləğvi yalnız köhnə sistemlərlə (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 və s.) uyğunluğun pozulmasına səbəb olmalıdır, çünki çarpaz imzada istifadə edilən ikinci kök sertifikatı qalır. etibarlı və müasir brauzerlər etibar zəncirini yoxlayarkən bunu nəzərə alır. Təcrübədə OpenSSL 1.0.x və GnuTLS-ə əsaslananlar da daxil olmaqla, brauzer olmayan TLS müştərilərində çarpaz imza yoxlaması ilə bağlı problemlər. Server AddTrust kök sertifikatına etibar zənciri ilə bağlanmış Sectigo sertifikatından istifadə edirsə, sertifikatın köhnəldiyini göstərən xəta ilə təhlükəsiz əlaqə artıq qurulmur.
Müasir brauzerlərin istifadəçiləri çarpaz imzalanmış Sectigo sertifikatlarını işləyərkən AddTrust kök sertifikatının köhnəldiyini görmədilərsə, o zaman problemlər müxtəlif üçüncü tərəf proqramlarında və server tərəfi işləyicilərində görünməyə başladı və bu, komponentlər arasında qarşılıqlı əlaqə üçün şifrələnmiş rabitə kanallarından istifadə edən bir çox infrastruktur.
Məsələn, var idi Debian və Ubuntu-da bəzi paket anbarlarına çıxışla (sertifikat yoxlama xətası yaratmağa başladı), "curl" və "wget" yardım proqramlarından istifadə edən skriptlərdən sorğular uğursuz olmağa başladı, Git-dən istifadə edərkən səhvlər müşahidə edildi, Roku axın platforması işləyir, işləyicilər artıq çağırılmır и , başladı Heroku proqramlarında, OpenLDAP klientləri qoşulur, STARTTLS ilə SMTPS və SMTP serverlərinə poçt göndərilməsi ilə bağlı problemlər aşkarlanır. Bundan əlavə, http müştəri ilə moduldan istifadə edən müxtəlif Ruby, PHP və Python skriptlərində problemlər müşahidə olunur. Brauzer problemi Reklam bloklama siyahılarının yüklənməsini dayandıran Epiphany.
Go proqramları bu problemdən təsirlənmir, çünki Go təklif edir TLS.
problemin köhnə paylama buraxılışlarına (o cümlədən Debian 9, Ubuntu 16.04, ) problemli OpenSSL filiallarından istifadə edən, lakin problem həmçinin APT paket meneceri Debian 10 və Ubuntu 18.04/20.04-ün cari buraxılışlarında işləyərkən, çünki APT GnuTLS kitabxanasından istifadə edir. Problemin mahiyyəti ondan ibarətdir ki, bir çox TLS/SSL kitabxanaları sertifikatı xətti zəncir kimi təhlil edir, halbuki RFC 4158-ə görə, sertifikat nəzərə alınması lazım olan çoxlu etibar ankerləri ilə yönəldilmiş paylanmış dairəvi qrafiki təmsil edə bilər. OpenSSL və GnuTLS-də bu qüsur haqqında . OpenSSL-də problem 1.1.1 filialında və içərisində həll edildi qalır .
Çözüm kimi, sistem mağazasından “AddTrust External CA Root” sertifikatını silmək təklif olunur (məsələn, /etc/ca-certificates.conf və /etc/ssl/certs-dən silin və sonra “update-ca” proqramını işə salın. -sertifikatlar -f -v"), bundan sonra OpenSSL adətən öz iştirakı ilə çapraz imzalanmış sertifikatları emal etməyə başlayır. APT paket menecerindən istifadə edərkən riski öz üzərinizə götürərək, fərdi sorğular üçün sertifikatın yoxlanılmasını deaktiv edə bilərsiniz (məsələn, “apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false”) .
Problemin qarşısını almaq üçün и AddTrust sertifikatının qara siyahıya əlavə edilməsi təklif olunur:
trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
yeniləmə-ca-etibar çıxarış
Amma bu üsul GnuTLS üçün (məsələn, wget yardım proqramını işə salarkən sertifikatın yoxlanılması xətası görünməyə davam edir).
Server tərəfində edə bilərsiniz server tərəfindən müştəriyə göndərilən etibar zəncirində sertifikatların siyahısı (“AddTrust External CA Root” ilə əlaqəli sertifikat siyahıdan çıxarılarsa, müştərinin yoxlanılması uğurlu olacaq). Yeni etibar zəncirini yoxlamaq və yaratmaq üçün xidmətdən istifadə edə bilərsiniz . Sectigo da alternativ çarpaz imzalı ara sertifikat "", 2028-ci ilə qədər etibarlı olacaq və OS-nin köhnə versiyaları ilə uyğunluğu qoruyacaq.
Əlavə: Problem də LibreSSL-də.
Mənbə: opennet.ru