Kaniadtong Sabado, Mayo 30, 2020, usa ka dili dayon klaro nga problema ang mitumaw sa tanyag nga mga sertipiko sa SSL / TLS gikan sa vendor nga Sectigo (kanhi Comodo). Ang mga sertipiko sa ilang kaugalingon nagpadayon sa hingpit nga pagkahan-ay, bisan pa, usa sa mga intermediate nga sertipiko sa CA sa mga kadena diin kini nga mga sertipiko gihatag nadunot. Ang sitwasyon dili ang pag-ingon nga makamatay, apan dili maayo: ang kasamtangan nga mga bersyon sa mga browser wala makamatikod sa bisan unsa, bisan pa, kadaghanan sa mga automation ug daan nga mga browser / OS dili andam alang sa ingon nga turno.
Ang Habr dili eksepsiyon, mao nga kini nga programa sa edukasyon / postmortem gisulat.
TL; DR Solusyon sa katapusan.
Atong laktawan ang batakang teorya bahin sa PKI, SSL / TLS, https ug uban pa. Ang mga mekaniko sa pag-authenticate nga adunay sertipiko sa seguridad sa domain mao ang paghimo sa usa ka kadena sa daghang mga sertipiko sa usa nga gisaligan sa browser o operating system, nga gitipigan sa gitawag nga Trust Store. Kini nga lista gipang-apud-apod uban sa operating system, code runtime ecosystem, o browser. Ang bisan unsang mga sertipiko adunay petsa sa pag-expire nga pagkahuman kini giisip nga dili kasaligan, lakip ang mga sertipiko sa tindahan sa pagsalig. Unsa ang hitsura sa kadena sa pagsalig sa wala pa ang makamatay nga adlaw? Ang usa ka web utility makatabang kanato nga mahibal-an kini gikan sa Qualys.
Busa, ang usa sa labing popular nga "komersyal" nga mga sertipiko mao ang Sectigo Positive SSL (kanhi Comodo Positive SSL, ang mga sertipiko nga adunay kini nga ngalan gigamit pa), kini ang gitawag nga DV-certificate. Ang DV mao ang labing karaan nga lebel sa sertipikasyon, nagpasabut nga pag-verify sa pag-access sa pagdumala sa domain sa nag-isyu sa ingon nga sertipiko. Sa tinuud, ang DV nagpasabut sa "pag-validate sa domain". Para sa pakisayran: naa pud OV (organization validation) ug EV (extended validation), ug libreng certificate gikan sa Let's Encrypt kay DV pud. Alang sa mga wala matagbaw sa mekanismo sa ACME, ang Positibo nga SSL nga produkto mao ang labing angay sa mga termino sa presyo / mga bahin (usa ka domain nga sertipiko nagkantidad mga 5-7 dolyar matag tuig nga adunay tibuuk nga panahon sa validity sa sertipiko sa taas. hangtod sa 2 ka tuig ug 3 ka bulan).
Ang Sectigo DV Generic Certificate (RSA) hangtud bag-o lang miabut uban niini nga kadena sa intermediate CAs:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityWala'y "ikatulo nga sertipiko", gipirmahan sa kaugalingon gikan sa AddTrust AB, tungod kay sa usa ka punto sa panahon kini giisip nga dili maayo nga pamatasan aron ilakip ang kaugalingon nga gipirmahan nga mga sertipiko sa ugat sa mga kadena. Timan-i nga ang intermediate CA nga gi-isyu sa AddTrust's UserTrust adunay expiration date sa Mayo 30, 2020. Dili kini sayon, tungod kay usa ka pamaagi sa pag-decommissioning ang giplano alang niining CA. Gituohan nga sa Mayo 30, 2020, ang usa ka cross-signed nga sertipiko gikan sa UserTrust makita sa tanan nga mga tindahan sa pagsalig sa kini nga panahon (sa ilawom sa tabon, parehas kini nga sertipiko, o hinoon usa ka publiko nga yawe) ug ang kadena, bisan sa na dili kasaligan nga sertipiko nga gilakip, adunay alternatibo nga mga agianan sa pagtukod ug walay usa nga makamatikod. Bisan pa, ang mga plano nahulog sa kamatuoran, nga mao ang taas nga termino nga "mga sistema sa kabilin". Sa tinuud, ang mga tag-iya sa karon nga mga bersyon sa mga browser walaβy namatikdan bisan unsa, bisan pa, ang bukid sa automation nga gitukod sa curl ug ssl / tls nga mga librarya sa daghang mga programming languageββug code execution environment naguba. Kinahanglang masabtan nga daghang mga produkto ang wala magiyahan sa mga himan sa pagtukod sa kadena nga gitukod sa OS, apan "pagdala" sa ilang pagsalig nga tindahan uban kanila. Ug dili kini kanunay nga adunay kung unsa ang gusto nilang makita. . Ug sa Linux, ang mga pakete sama sa ca-certificate dili kanunay gi-update. Sa katapusan, ang tanan ingon og hapsay, apan adunay dili molihok dinhi ug didto.
Gikan sa Figure 1, klaro nga bisan kung ang tanan tan-awon sama sa naandan alang sa kadaghanan, adunay usa ka butang nga nabuak alang sa usa ka tawo ug ang trapiko mius-os pag-ayo (wala nga pula nga linya), unya kini mitubo kung ang usa sa mga yawe nga sertipiko gipulihan (tuo nga linya). Adunay mga pagbuto sa tunga, kung ang ubang mga sertipiko giusab, diin adunay nagsalig usab. Tungod kay alang sa kadaghanan ang tanan nga biswal nagpadayon sa pagtrabaho labi pa o dili kaayo kanunay (gawas sa mga katingad-an nga mga glitches sama sa imposible sa pag-load sa mga litrato sa Habrastorage), makahimo kami usa ka dili direkta nga konklusyon bahin sa gidaghanon sa mga kabilin nga kliyente ug mga bot sa HabrΓ©.
Figure 1. Graph sa "trapiko" sa HabrΓ©.
Gipakita sa Figure 2 kung giunsa ang usa ka "alternatibo" nga kadena gitukod sa karon nga mga bersyon sa mga browser sa usa ka kasaligan nga sertipiko sa CA sa browser sa user, bisan kung adunay usa ka "dunot" nga sertipiko sa kadena. Kini, ingon sa gituohan mismo ni Sectigo, mao ang hinungdan nga dili magbuhat bisan unsa.
Figure 2. Kadena sa usa ka kasaligan nga sertipiko alang sa usa ka modernong bersyon sa browser.
Apan sa Figure 3, imong makita kung unsa gyud ang hitsura sa tanan kung adunay nahitabo nga sayup ug kami adunay usa ka legacy system. Sa kini nga kaso, ang koneksyon sa HTTPS wala maestablisar ug nakakita kami usa ka sayup sama sa "napakyas ang pag-validate sa sertipiko" o parehas.
Figure 3. Ang kadena na-invalidate tungod kay ang root certificate ug ang intermediate nga gipirmahan niini "dunot".
Sa Figure 4, nakita na nato ang usa ka "solusyon" alang sa mga sistema sa kabilin: adunay laing intermediate nga sertipiko, o hinoon usa ka "cross-signature" gikan sa laing CA, nga kasagaran gi-preinstall sa mga sistema sa kabilin. Kini ang kinahanglan nimong buhaton: pangitaa kini nga sertipiko (nga gimarkahan nga Extra download) ug ilisan ang usa nga "dunot" niini.
Figure 4. Alternatibong kadena para sa mga sistema sa kabilin.
Pinaagi sa dalan: ang problema walay lapad nga publisidad ug usa ka matang sa diskusyon sa publiko, lakip ang tungod sa sobra nga pagkamapahitas-on ni Sectigo. Pananglitan, ania ang opinyon sa usa sa mga tighatag sa sertipiko sa niini nga sitwasyon:
Kaniadto sila [Sectigo] gipasalig sa tanan nga walay mga isyu nga mahitabo. Bisan pa, ang tinuod mao nga ang pipila ka mga legacy server / device naapektuhan.
Kana usa ka kataw-anan nga kahimtang. Gipunting namo ang ilang pagtagad sa nag-expire nga AddTrust RSA/ECC sa makadaghang higayon sulod sa usa ka tuig ug sa matag higayon nga si Sectigo mipasalig kanamo nga walay mga isyu.
Ako mismo nangutana sa Stack Overflow mahitungod niini usa ka bulan ang milabay, apan dayag, ang mamiminaw sa proyekto dili kaayo angay alang sa maong mga pangutana, mao nga kinahanglan nakong tubagon kini sa akong kaugalingon human sa pagtuki.
Sectigo Adunay usa ka FAQ bahin niini nga hilisgutan, apan kini dili mabasa ug taas nga imposible nga gamiton kini. Ania ang usa ka kinutlo nga mao ang quintessence sa tibuuk nga publikasyon:
Unsa ang Kinahanglan Nimong Buhaton
Alang sa kadaghanan sa mga kaso sa paggamit, lakip ang mga sertipiko nga nagserbisyo sa modernong mga sistema sa kliyente o server, walaβy kinahanglan nga aksyon, bisan kung nag-isyu ka mga sertipiko nga naka-cross-chain sa gamut sa AddTrust.Hangtod sa Abril 30, 2020: Para sa mga proseso sa negosyo nga nagdepende sa karaan kaayo nga mga sistema, ang Sectigo naghimo nga magamit (sa default sa mga bundle sa sertipiko) usa ka bag-ong legacy nga gamut alang sa cross-signing, ang "AAA Certificate Services" nga gamut. Bisan pa, palihug gamita ang labi nga pag-amping bahin sa bisan unsang proseso nga nagdepende sa karaan kaayo nga mga sistema sa kabilin. Ang mga sistema nga wala makadawat sa mga update nga gikinahanglan sa pagsuporta sa mas bag-ong mga gamot sama sa Sectigo's COMODO nga gamut dili kalikayan nga mawad-an sa uban pang importante nga mga update sa seguridad ug kinahanglan nga isipon nga walay kasigurohan. Kung gusto pa nimo nga mag-cross-sign sa gamut sa AAA Certificate Services, palihug kontaka ang Sectigo direkta.
Ganahan kaayo ko sa "karaan na kaayo" nga thesis, siyempre. Pananglitan, curl sa console sa Ubuntu Linux 18.04 LTS (among base OS sa pagkakaron) nga adunay pinakabag-o nga mga update nga dili molapas sa usa ka bulan, lisud ang pagtawag nga tigulang na kaayo, apan dili kini molihok.
Kadaghanan sa mga tig-apod-apod sa sertipiko nagpagawas sa ilang mga nota sa desisyon sa ulahing hapon sa Mayo 30. Pananglitan, haom kaayo sa teknikal nga termino gikan sa (nga adunay usa ka piho nga paghulagway kung unsa ang buhaton ug adunay andam nga mga CA-bundle sa mga archive sa zip, apan RSA ra):
Figure 5. Pito ka mga lakang aron dali nga ayohon ang mga butang.
Adunay gikan sa Redhat, apan adunay dugang ug mas Legacy ug kinahanglan nimo nga mag-install ug mas daghang root legacy nga sertipiko gikan sa Comodo aron ang tanan molihok.
desisyon
Angayan usab nga doblehon ang solusyon dinhi. Sa ubos mao ang duha ka hugpong sa mga kadena alang sa mga sertipiko DV Sectigo (dili Comodo!), Usa alang sa pamilyar nga RSA nga mga sertipiko, ang lain alang sa dili kaayo pamilyar nga ECC (ECDSA) nga mga sertipiko (naggamit kami duha ka kadena sa dugay nga panahon). Uban sa ECC, kini mas lisud, tungod kay kadaghanan sa mga solusyon wala magtagad sa presensya sa maong mga sertipiko tungod sa ilang ubos nga pagkaylap. Ingon usa ka sangputanan, ang gikinahanglan nga intermediate nga sertipiko nakit-an sa .
Kadena alang sa mga sertipiko base sa yawe nga algorithm RSA. Itandi sa imong kadena ug timan-i nga ang ubos lang nga sertipiko ang giilisan, samtang ang ibabaw nagpabilin nga pareho. Gilain ko sila sa balay pinaagi sa katapusang tulo nga mga karakter sa base64 nga mga bloke, wala mag-ihap sa "parehas" nga karakter (sa kini nga kaso En8= ΠΈ 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----
MIIFgTCCBGmgAwIBAgIQOXJEOvkit1HX02wQ3TE1lTANBgkqhkiG9w0BAQwFADB7
MQswCQYDVQQGEwJHQjEbMBkGA1UECAwSR3JlYXRlciBNYW5jaGVzdGVyMRAwDgYD
VQQHDAdTYWxmb3JkMRowGAYDVQQKDBFDb21vZG8gQ0EgTGltaXRlZDEhMB8GA1UE
AwwYQUFBIENlcnRpZmljYXRlIFNlcnZpY2VzMB4XDTE5MDMxMjAwMDAwMFoXDTI4
MTIzMTIzNTk1OVowgYgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5
MRQwEgYDVQQHEwtKZXJzZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBO
ZXR3b3JrMS4wLAYDVQQDEyVVU0VSVHJ1c3QgUlNBIENlcnRpZmljYXRpb24gQXV0
aG9yaXR5MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAgBJlFzYOw9sI
s9CsVw127c0n00ytUINh4qogTQktZAnczomfzD2p7PbPwdzx07HWezcoEStH2jnG
vDoZtF+mvX2do2NCtnbyqTsrkfjib9DsFiCQCT7i6HTJGLSR1GJk23+jBvGIGGqQ
Ijy8/hPwhxR79uQfjtTkUcYRZ0YIUcuGFFQ/vDP+fmyc/xadGL1RjjWmp2bIcmfb
IWax1Jt4A8BQOujM8Ny8nkz+rwWWNR9XWrf/zvk9tyy29lTdyOcSOk2uTIq3XJq0
tyA9yn8iNK5+O2hmAUTnAU5GU5szYPeUvlM3kHND8zLDU+/bqv50TmnHa4xgk97E
xwzf4TKuzJM7UXiVZ4vuPVb+DNBpDxsP8yUmazNt925H+nND5X4OpWaxKXwyhGNV
icQNwZNUMBkTrNN9N6frXTpsNVzbQdcS2qlJC9/YgIoJk2KOtWbPJYjNhLixP6Q5
D9kCnusSTJV882sFqV4Wg8y4Z+LoE53MW4LTTLPtW//e5XOsIzstAL81VXQJSdhJ
WBp/kjbmUZIO8yZ9HE0XvMnsQybQv0FfQKlERPSZ51eHnlAfV1SoPv10Yy+xUGUJ
5lhCLkMaTLTwJUdZ+gQek9QmRkpQgbLevni3/GcV4clXhB4PY9bpYrrWX1Uu6lzG
KAgEJTm4Diup8kyXHAc/DVL17e8vgg8CAwEAAaOB8jCB7zAfBgNVHSMEGDAWgBSg
EQojPpbxB+zirynvgqV/0DCktDAdBgNVHQ4EFgQUU3m/WqorSs9UgOHYm8Cd8rID
ZsswDgYDVR0PAQH/BAQDAgGGMA8GA1UdEwEB/wQFMAMBAf8wEQYDVR0gBAowCDAG
BgRVHSAAMEMGA1UdHwQ8MDowOKA2oDSGMmh0dHA6Ly9jcmwuY29tb2RvY2EuY29t
L0FBQUNlcnRpZmljYXRlU2VydmljZXMuY3JsMDQGCCsGAQUFBwEBBCgwJjAkBggr
BgEFBQcwAYYYaHR0cDovL29jc3AuY29tb2RvY2EuY29tMA0GCSqGSIb3DQEBDAUA
A4IBAQAYh1HcdCE9nIrgJ7cz0C7M7PDmy14R3iJvm3WOnnL+5Nb+qh+cli3vA0p+
rvSNb3I8QzvAP+u431yqqcau8vzY7qN7Q/aGNnwU4M309z/+3ri0ivCRlv79Q2R+
/czSAaF9ffgZGclCKxO/WIu6pKJmBHaIkU4MiRTOok3JMrO66BQavHHxW/BBC5gA
CiIDEOUMsfnNkjcZ7Tvx5Dq2+UUTJnWvu6rvP3t3O9LEApE9GQDTF1w52z97GA1F
zZOFli9d31kWTz9RvdVFGD/tSo7oBmF0Ixa1DVBzJ0RHfxBdiSprhTEUxOipakyA
vGp4z7h/jnZymQyd/teRCBaho1+V
-----END CERTIFICATE-----Kadena alang sa mga sertipiko base sa yawe nga algorithm ECC. Sa susama sa kadena alang sa RSA, ang ubos nga sertipiko lamang ang gipulihan, samtang ang ibabaw nagpabilin nga pareho (sa kini nga kaso fmA== ΠΈ v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----
MIIDqDCCAy6gAwIBAgIRAPNkTmtuAFAjfglGvXvh9R0wCgYIKoZIzj0EAwMwgYgx
CzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5MRQwEgYDVQQHEwtKZXJz
ZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBOZXR3b3JrMS4wLAYDVQQD
EyVVU0VSVHJ1c3QgRUNDIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MB4XDTE4MTEw
MjAwMDAwMFoXDTMwMTIzMTIzNTk1OVowgY8xCzAJBgNVBAYTAkdCMRswGQYDVQQI
ExJHcmVhdGVyIE1hbmNoZXN0ZXIxEDAOBgNVBAcTB1NhbGZvcmQxGDAWBgNVBAoT
D1NlY3RpZ28gTGltaXRlZDE3MDUGA1UEAxMuU2VjdGlnbyBFQ0MgRG9tYWluIFZh
bGlkYXRpb24gU2VjdXJlIFNlcnZlciBDQTBZMBMGByqGSM49AgEGCCqGSM49AwEH
A0IABHkYk8qfbZ5sVwAjBTcLXw9YWsTef1Wj6R7W2SUKiKAgSh16TwUwimNJE4xk
IQeV/To14UrOkPAY9z2vaKb71EijggFuMIIBajAfBgNVHSMEGDAWgBQ64QmG1M8Z
wpZ2dEl23OA1xmNjmjAdBgNVHQ4EFgQU9oUKOxGG4QR9DqoLLNLuzGR7e64wDgYD
VR0PAQH/BAQDAgGGMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYDVR0lBBYwFAYIKwYB
BQUHAwEGCCsGAQUFBwMCMBsGA1UdIAQUMBIwBgYEVR0gADAIBgZngQwBAgEwUAYD
VR0fBEkwRzBFoEOgQYY/aHR0cDovL2NybC51c2VydHJ1c3QuY29tL1VTRVJUcnVz
dEVDQ0NlcnRpZmljYXRpb25BdXRob3JpdHkuY3JsMHYGCCsGAQUFBwEBBGowaDA/
BggrBgEFBQcwAoYzaHR0cDovL2NydC51c2VydHJ1c3QuY29tL1VTRVJUcnVzdEVD
Q0FkZFRydXN0Q0EuY3J0MCUGCCsGAQUFBzABhhlodHRwOi8vb2NzcC51c2VydHJ1
c3QuY29tMAoGCCqGSM49BAMDA2gAMGUCMEvnx3FcsVwJbZpCYF9z6fDWJtS1UVRs
cS0chWBNKPFNpvDKdrdKRe+oAkr2jU+ubgIxAODheSr2XhcA7oz9HmedGdMhlrd9
4ToKFbZl+/OnFFzqnvOhcjHvClECEQcKmc8fmA==
-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Mao gyud na. Salamat sa imong pagtagad.
Source: www.habr.com