U sabbatu 30 di maghju di u 2020, hè ghjuntu un prublema micca immediatamente chjaru cù i certificati SSL / TLS populari da u venditore Sectigo (ex Comodo). I certificati stessi cuntinueghjanu à esse in ordine perfettu, in ogni modu, unu di i certificati CA intermediari in e catene cù quale sti certificati sò stati furniti sò andati putriti. A situazione ùn hè micca di dì chì fatale, ma dispiacevule: e versioni attuali di i navigatori ùn anu nutatu nunda, però, a maiò parte di l'automatizazione è i vechji navigatori / OS ùn eranu micca pronti per un tali turnu.
Habr ùn era micca eccezzioni, per quessa chì stu prugramma educativu / postmortem hè statu scrittu.
TL; DR Soluzione à a fine.
Saltamu a teoria di basa nantu à PKI, SSL / TLS, https è più. A meccanica di l'autentificazione cù un certificatu di sicurità di u duminiu hè di custruisce una catena di una quantità di certificati à unu di quelli chì sò fiduciati da u navigatore o u sistema operatore, chì sò almacenati in u chjamatu Trust Store. Questa lista hè distribuita cù u sistema operatore, l'ecosistema di runtime di codice, o u navigatore. Ogni certificatu hà una data di scadenza dopu à quale sò cunsiderate micca di fiducia, cumpresi i certificati in a tenda di fiducia. Chì era a catena di fiducia prima di u ghjornu fatale ? Una utilità web ci aiuterà à capisce da Qualys.
Dunque, unu di i certificati "cumerciali" più populari hè Sectigo Positive SSL (antica Comodo Positive SSL, i certificati cù stu nome sò sempre in usu), hè u chjamatu certificatu DV. DV hè u livellu più primitivu di certificazione, vale à dì a verificazione di l'accessu à a gestione di u duminiu da l'emittente di un tali certificatu. In realtà, DV significa "validazione di u duminiu". Per riferimentu: ci hè ancu OV (validazione di l'urganizazione) è EV (validazione estesa), è un certificatu gratuitu da Let's Encrypt hè ancu DV. Per quelli chì per una certa ragione ùn sò micca soddisfatti di u mecanismu ACME, u pruduttu SSL Positivu hè u più adattatu in quantu à u prezzu / caratteristiche (un certificatu unicu duminiu costa circa 5-7 dollari annu cù un periodu di validità di certificatu tutale di up. à 2 anni è 3 mesi).
U Sectigo DV Generic Certificate (RSA) finu à pocu tempu hè vinutu cù sta catena di CA intermedii:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityÙn ci hè micca un "terzu certificatu", autofirmatu da AddTrust AB, postu chì in un certu puntu in u tempu hè diventatu cunzidiratu cattivi modi per include certificati radici autofirmati in catene. Nota chì a CA intermedia emessa da UserTrust di AddTrust hà una data di scadenza di u 30 di maghju 2020. Questu ùn hè micca faciule, postu chì una prucedura di decommissioning hè stata pianificata per questa CA. Hè cridutu chì da u 30 di maghju di u 2020, un certificatu firmatu incruciatu da UserTrust appariscerà in tutti i magazzini di fiducia à questu tempu (sottu u cappucciu, questu hè u stessu certificatu, o piuttostu una chjave publica) è a catena, ancu cù u certificatu dighjà micca affidatu inclusu, averà percorsi alternativi chì custruiscenu è nimu ùn si avviserà. Tuttavia, i piani s'hè lampatu in a realità, vale à dì u longu termine "sistemi legacy". Infatti, i pruprietarii di e versioni attuali di i navigatori ùn anu nutatu nunda, però, a muntagna di l'automatizazione custruita nantu à e librerie curl è ssl / tls di una quantità di linguaggi di prugrammazione è ambienti di esecuzione di codice si sò rotti. Ci vole à capisce chì parechji prudutti ùn sò micca guidati da l'arnesi di custruzzione di a catena integrata in u SO, ma "portanu" a so tenda di fiducia cun elli. È ùn cuntenenu micca sempre ciò chì vulianu vede. . È in Linux, pacchetti cum'è ca-certificati ùn sò micca sempre aghjurnati. In fine, tuttu pare esse in ordine, ma qualcosa ùn viaghja micca quì è quì.
Da a Figura 1, hè chjaru chì, ancu s'ellu tuttu pareva normale per a maiò parte di a maiò parte, qualcosa si rompeva per qualcunu è u trafficu dipped notevolmente (linea rossa di manca), dopu cresce quandu unu di i certificati chjave hè statu rimpiazzatu (linea destra). Ci sò stati sfondate in u mezu, quandu altri certificati sò stati cambiati, da quale qualcosa dipende ancu. Siccomu per a maiuranza tuttu visualmente cuntinuò à travaglià più o menu regularmente (cù l'eccezzioni di strani glitches, cum'è l'impossibilità di carica di l'imaghjini nantu à Habrastorage), pudemu fà una cunclusione indiretta nantu à u numeru di clienti legati è bots nantu à Habré.
Figura 1. Graficu di "traffic" nantu à Habré.
A Figura 2 mostra cumu una catena "alternativa" hè custruita in e versioni currenti di i navigatori à un certificatu CA di fiducia in u navigatore di l'utilizatori, ancu s'ellu ci hè un certificatu "rotten" in a catena. Questu, cum'è Sectigo stessu crede, hè u mutivu propiu per ùn fà nunda.
Figura 2. Catena à un certificatu di fiducia per una versione di navigatore mudernu.
Ma in a Figura 3, pudete vede cumu tuttu pare veramente quandu qualcosa hè andatu male è avemu un sistema legatu. In questu casu, a cunnessione HTTPS ùn hè micca stabilita è vedemu un errore cum'è "a validazione di certificatu falluta" o simili.
Figura 3. A catena hè stata invalidata perchè u certificatu radicali è l'intermediu firmatu da ellu eranu "rotten".
In a Figura 4, avemu digià vistu una "soluzione" per i sistemi legacy: ci hè un altru certificatu intermediu, o piuttostu un "cross-signature" da un altru CA, chì hè di solitu preinstallatu in sistemi legacy. Questu hè ciò chì duvete fà: truvate stu certificatu (chì hè marcatu cum'è Download Extra) è rimpiazzà u "rotten" cun ellu.
Figura 4. Catena alternativa per i sistemi legacy.
Per via: u prublema ùn hà micca una larga publicità è una certa discussione publica, ancu per l'arroganza eccessiva di Sectigo. Per esempiu, quì hè l'opinione di unu di i fornituri di certificati in à sta situazione:
Prima elli [Sectigo] assicuratu à tutti chì ùn ci sarà micca prublemi. Tuttavia, a realità hè chì certi servitori / dispusitivi legacy sò affettati.
Hè una situazione ridicula. Avemu signalatu a so attenzione à l'AddTrust RSA / ECC in scadenza parechje volte in un annu è ogni volta Sectigo ci hà assicuratu chì ùn ci sarà micca prublemi.
Aghju dumandatu personalmente nantu à Stack Overflow circa questu un mese fà, ma apparentemente, l'audienza di u prugettu ùn hè micca assai adattatu per tali dumande, cusì aghju avutu à risponde à mè stessu dopu l'analisi.
Sectigo Ci hè una FAQ nantu à questu sughjettu, ma hè cusì illegibile è longu chì hè impussibile di usà. Eccu una citazione chì hè a quintessenza di tutta a publicazione:
Ciò chì avete bisognu à fà
Per a maiò parte di i casi d'utilizazione, cumpresi i certificati chì servenu sistemi di cliente o servitori muderni, ùn ci hè micca bisognu d'azzione, sia o micca chì avete emessu certificati cross-chained à a radica AddTrust.À u 30 d'aprile di u 2020: Per i prucessi di cummerciale chì dependenu di sistemi assai vechji, Sectigo hà messu dispunibule (per default in i pacchetti di certificati) una nova radica legata per a firma incruciata, a radica "Servizi di Certificatu AAA". Tuttavia, per piacè aduprate una prudenza estrema annantu à qualsiasi prucessu chì dipende di sistemi legati assai vechji. I sistemi chì ùn anu micca ricivutu l'aghjurnamenti necessarii per sustene e radiche più recenti, cum'è a radica COMODO di Sectigo, inevitabbilmente mancaranu altre aghjurnamenti essenziali di sicurezza è deve esse cunsideratu insicure. Se vulete sempre firmà incruciate à a radica di i servizii di certificati AAA, cuntattate direttamente Sectigo.
Mi piace assai a tesi "assai vechja", sicuru. Per esempiu, curl in a cunsola di Ubuntu Linux 18.04 LTS (u nostru OS di basa à u mumentu) cù l'ultimi aghjurnamenti micca più vechji di un mesi, hè difficiule di chjamà assai vechji, ma ùn viaghja micca.
A maiò parte di i distributori di certificati anu publicatu e so note di decisione in a tarda dopu meziornu di u 30 di maghju. Per esempiu, assai adattatu in termini tecnichi da (cù una descrizzione specifica di ciò chì deve fà è cù CA-bundles pronti in archivi zip, ma solu RSA):
Figura 5. Sette passi per riparà e cose rapidamente.
Ci sò da Redhat, ma ci hè più è più Legacy è avete bisognu di installà un certificatu di eredità ancu più radica da Comodo per tuttu per travaglià.
dicisioni
Vale a pena duplicà a suluzione ancu quì. Quì sottu sò dui gruppi di catene per i certificati DV Sectigo (micca Comodo!), unu per i certificati familiari RSA, l'altru per i certificati ECC (ECDSA) menu familiari (avemu utilizatu duie catene per un bellu pezzu). Cù ECC, era più difficiule, postu chì a maiò parte di i suluzioni ùn anu micca cunsideratu a presenza di tali certificati per via di a so prevalenza bassu. In u risultatu, u certificatu intermediu necessariu hè statu truvatu .
Catena per i certificati basatu annantu à l'algoritmu chjave RSA. Paragunate cù a vostra catena è nutate chì solu u certificatu più bassu hè statu rimpiazzatu, mentre chì u superiore hè statu u listessu. I distingue in casa per l'ultimi trè caratteri di blocchi base64, senza cuntà u caratteru "uguale" (in questu casu En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Catena per i certificati basatu annantu à l'algoritmu chjave ECC. In listessu modu cù a catena per RSA, solu u certificatu inferjuri hè statu rimpiazzatu, mentre chì u superiore restava u stessu (in questu casu. fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----
MIID0zCCArugAwIBAgIQVmcdBOpPmUxvEIFHWdJ1lDANBgkqhkiG9w0BAQwFADB7
MQswCQYDVQQGEwJHQjEbMBkGA1UECAwSR3JlYXRlciBNYW5jaGVzdGVyMRAwDgYD
VQQHDAdTYWxmb3JkMRowGAYDVQQKDBFDb21vZG8gQ0EgTGltaXRlZDEhMB8GA1UE
AwwYQUFBIENlcnRpZmljYXRlIFNlcnZpY2VzMB4XDTE5MDMxMjAwMDAwMFoXDTI4
MTIzMTIzNTk1OVowgYgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5
MRQwEgYDVQQHEwtKZXJzZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBO
ZXR3b3JrMS4wLAYDVQQDEyVVU0VSVHJ1c3QgRUNDIENlcnRpZmljYXRpb24gQXV0
aG9yaXR5MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEGqxUWqn5aCPnetUkb1PGWthL
q8bVttHmc3Gu3ZzWDGH926CJA7gFFOxXzu5dP+Ihs8731Ip54KODfi2X0GHE8Znc
JZFjq38wo7Rw4sehM5zzvy5cU7Ffs30yf4o043l5o4HyMIHvMB8GA1UdIwQYMBaA
FKARCiM+lvEH7OKvKe+CpX/QMKS0MB0GA1UdDgQWBBQ64QmG1M8ZwpZ2dEl23OA1
xmNjmjAOBgNVHQ8BAf8EBAMCAYYwDwYDVR0TAQH/BAUwAwEB/zARBgNVHSAECjAI
MAYGBFUdIAAwQwYDVR0fBDwwOjA4oDagNIYyaHR0cDovL2NybC5jb21vZG9jYS5j
b20vQUFBQ2VydGlmaWNhdGVTZXJ2aWNlcy5jcmwwNAYIKwYBBQUHAQEEKDAmMCQG
CCsGAQUFBzABhhhodHRwOi8vb2NzcC5jb21vZG9jYS5jb20wDQYJKoZIhvcNAQEM
BQADggEBABns652JLCALBIAdGN5CmXKZFjK9Dpx1WywV4ilAbe7/ctvbq5AfjJXy
ij0IckKJUAfiORVsAYfZFhr1wHUrxeZWEQff2Ji8fJ8ZOd+LygBkc7xGEJuTI42+
FsMuCIKchjN0djsoTI0DQoWz4rIjQtUfenVqGtF8qmchxDM6OW1TyaLtYiKou+JV
bJlsQ2uRl9EMC5MCHdK8aXdJ5htN978UeAOwproLtOGFfy/cQjutdAFI3tZs4RmY
CV4Ks2dH/hzg1cEo70qLRDEmBDeNiXQ2Lu+lIg+DdEmSx/cQwgwp+7e9un/jX9Wf
8qn0dNW44bOwgeThpWOjzOoEeJBuv/c=
-----END CERTIFICATE-----Hè abbastanza. Grazie per a vostra attenzione.
Source: www.habr.com