U 30 di maghju, u periodu di validità di 20 anni di u certificatu radice scadutu , chì per generà una croce-firmata in certificati di una di e più grandi autorità di certificazione Sectigo (Comodo). A cross-signing hà permessu a cumpatibilità cù i dispositi legacy chì ùn anu micca u novu certificatu root USERTRust aghjuntu à u so magazzinu di certificati radicali.
In teoria, a terminazione di u certificatu radicali AddTrust duverà solu purtà à una violazione di a cumpatibilità cù i sistemi legacy (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, etc.), postu chì u sicondu certificatu radicale utilizatu in a firma incruciata resta. navigatori validi è muderni piglianu in contu quandu verificate a catena di fiducia. In pratica Prublemi cù a verificazione di a firma incruciata in i clienti TLS chì ùn sò micca navigatori, cumprese quelli basati in OpenSSL 1.0.x è GnuTLS. Una cunnessione sicura ùn hè più stabilita cù un errore chì indica chì u certificatu hè fora di data se u servitore usa un certificatu Sectigo ligatu da una catena di fiducia à u certificatu root AddTrust.
Se l'utilizatori di i navigatori muderni ùn anu micca avvistu l'obsolescenza di u certificatu radice AddTrust durante u processu di certificati Sectigo firmati incruciati, i prublemi cuminciaru à apparisce in diverse applicazioni di terzu è gestori di u servitore, chì hà purtatu à parechje infrastrutture chì utilizanu canali di cumunicazione criptati per l'interazzione trà cumpunenti.
Per esempiu, ci eranu cù l'accessu à certi repositori di pacchetti in Debian è Ubuntu (apt hà cuminciatu à generà un errore di verificazione di certificatu), e richieste di script chì utilizanu l'utilità "curl" è "wget" cuminciaru à fallu, errori sò stati osservati quandu si usa Git, A piattaforma di streaming Roku funziona, i gestori ùn sò più chjamati и , principiatu in l'applicazioni Heroku, I clienti OpenLDAP sò cunnessi, i prublemi cù l'invio di mail à i servitori SMTPS è SMTP cù STARTTLS sò rilevati. Inoltre, i prublemi sò osservati in diversi script Ruby, PHP è Python chì utilizanu un modulu cù un cliente http. Prublemu di u navigatore Epiphany, chì hà cessatu di carica listi di bloccu di publicità.
I prugrammi Go ùn sò micca affettati da stu prublema perchè Go offre TLS.
chì u prublema affetta e versioni di distribuzione più vechje (cumprese Debian 9, Ubuntu 16.04, ) chì utilizanu rami problematiche OpenSSL, ma u prublema ancu quandu u gestore di pacchetti APT hè in esecuzione in versioni attuali di Debian 10 è Ubuntu 18.04/20.04, postu chì APT usa a libreria GnuTLS. U mutivu di u prublema hè chì parechje biblioteche TLS / SSL analizzanu un certificatu cum'è una catena lineare, mentre chì secondu RFC 4158, un certificatu pò rapprisintà un gràficu circular distribuitu direttu cù parechje ancore di fiducia chì deve esse cunsideratu. Riguardu à questu difettu in OpenSSL è GnuTLS . In OpenSSL u prublema hè stata risolta in a branche 1.1.1, è in ferma .
Cum'è una soluzione alternativa, hè suggeritu di sguassà u certificatu "AddTrust External CA Root" da u magazinu di u sistema (per esempiu, sguassate da /etc/ca-certificates.conf è /etc/ssl/certs, è poi eseguite "update-ca". -certificates -f -v"), dopu chì OpenSSL principia à processà di solitu certificati firmati incruciati cù a so participazione. Quandu utilizate u gestore di pacchetti APT, pudete disattivà a verificazione di certificatu per e richieste individuali à u vostru propiu risicu (per esempiu, "apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false") .
Per bluccà u prublema in и Hè prupostu di aghjunghje u certificatu AddTrust à a lista negra:
trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
update-ca-trust extract
Ma stu mètudu per GnuTLS (per esempiu, un errore di verificazione di certificatu cuntinueghja à apparisce quandu esegue l'utilità wget).
Da u latu di u servitore pudete elencu i certificati in a catena di fiducia mandata da u servitore à u cliente (se u certificatu assuciatu cù "AddTrust External CA Root" hè eliminatu da a lista, allora a verificazione di u cliente serà successu). Per verificà è generà una nova catena di fiducia, pudete aduprà u serviziu . Sectigo ancu certificatu intermediariu alternativu firmatu incruciatu "", chì serà validu finu à u 2028 è mantene a cumpatibilità cù e versioni più vechje di u SO.
In più: Prublemu ancu in LibreSSL.
Source: opennet.ru