Ddydd Sadwrn Mai 30, 2020, cododd problem nad oedd yn glir ar unwaith gyda thystysgrifau SSL / TLS poblogaidd gan y gwerthwr Sectigo (Comodo gynt). Roedd y tystysgrifau eu hunain yn parhau i fod mewn trefn berffaith, fodd bynnag, aeth un o'r tystysgrifau CA canolradd yn y cadwyni a ddefnyddiwyd i gyflenwi'r tystysgrifau hyn wedi pydru. Nid yw'r sefyllfa i ddweud bod yn angheuol, ond yn annymunol: nid oedd y fersiynau cyfredol o borwyr yn sylwi ar unrhyw beth, fodd bynnag, nid oedd y rhan fwyaf o'r awtomeiddio a'r hen borwyr / OS yn barod ar gyfer tro o'r fath.
Nid oedd Habr yn eithriad, a dyna pam yr ysgrifennwyd y rhaglen addysgol / post mortem hon.
TL; DR Ateb ar y diwedd.
Gadewch i ni hepgor y theori sylfaenol am PKI, SSL / TLS, https a mwy. Mecanwaith dilysu gyda thystysgrif diogelwch parth yw adeiladu cadwyn o nifer o dystysgrifau i un o'r rhai y mae'r porwr neu'r system weithredu yn ymddiried ynddynt, sy'n cael eu storio yn yr Ymddiriedolaeth Store fel y'i gelwir. Mae'r rhestr hon yn cael ei dosbarthu gyda'r system weithredu, cod ecosystem amser rhedeg, neu borwr. Mae gan unrhyw dystysgrifau ddyddiad dod i ben ac ar ôl hynny ystyrir eu bod yn anymddiried, gan gynnwys tystysgrifau yn siop yr ymddiriedolaeth. Sut olwg oedd ar y gadwyn ymddiriedaeth cyn y diwrnod tyngedfennol? Bydd cyfleustodau gwe yn ein helpu i ddarganfod hynny oddi wrth Qualys.
Felly, un o'r tystysgrifau "masnachol" mwyaf poblogaidd yw Sectigo Positive SSL (Comodo Positive SSL gynt, mae tystysgrifau gyda'r enw hwn yn dal i gael eu defnyddio), dyma'r dystysgrif DV fel y'i gelwir. DV yw'r lefel ardystio mwyaf cyntefig, sy'n golygu bod cyhoeddwr tystysgrif o'r fath yn gwirio mynediad at reolaeth parth. Mewn gwirionedd, mae DV yn sefyll am "dilysu parth". Er gwybodaeth: mae yna hefyd OV (dilysiad sefydliad) ac EV (dilysiad estynedig), ac mae tystysgrif am ddim gan Let's Encrypt hefyd yn DV. I'r rhai nad ydynt am ryw reswm yn fodlon â'r mecanwaith ACME, y cynnyrch SSL Positif yw'r mwyaf addas o ran pris / nodweddion (mae tystysgrif parth sengl yn costio tua 5-7 doler y flwyddyn gyda chyfanswm cyfnod dilysrwydd tystysgrif i fyny i 2 flynedd a 3 mis).
Hyd yn ddiweddar daeth Tystysgrif Generig DV Sectigo (RSA) gyda'r gadwyn hon o CA canolraddol:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityNid oes unrhyw “drydedd dystysgrif”, hunan-lofnodedig gan AddTrust AB, oherwydd ar ryw adeg fe'i hystyriwyd yn foesau drwg i gynnwys tystysgrifau gwraidd hunan-lofnodedig mewn cadwyni. Sylwch fod gan yr CA canolradd a gyhoeddwyd gan UserTrust AddTrust ddyddiad dod i ben o Fai 30, 2020. Nid yw hyn yn hawdd, gan fod gweithdrefn ddatgomisiynu wedi'i chynllunio ar gyfer yr Awdurdod Cymwys hwn. Credwyd erbyn Mai 30, 2020, y byddai tystysgrif wedi'i thraws-lofnodi gan UserTrust yn ymddangos ym mhob siop ymddiriedolaeth erbyn yr amser hwn (o dan y cwfl, dyma'r un dystysgrif, neu yn hytrach allwedd gyhoeddus) a'r gadwyn, hyd yn oed gyda'r tystysgrif heb ei hymddiried eisoes wedi'i chynnwys, bydd llwybrau eraill yn cael eu hadeiladu ac ni fydd neb yn sylwi. Fodd bynnag, chwalodd y cynlluniau yn realiti, sef y term hir "systemau etifeddiaeth". Yn wir, ni sylwodd perchnogion fersiynau cyfredol o borwyr ar unrhyw beth, fodd bynnag, torrodd y mynydd awtomeiddio a adeiladwyd ar lyfrgelloedd cyrl a ssl / tls o nifer o ieithoedd rhaglennu ac amgylcheddau gweithredu cod. Dylid deall nad yw llawer o gynhyrchion yn cael eu harwain gan yr offer adeiladu cadwyn sydd wedi'u cynnwys yn yr OS, ond yn hytrach yn “cario” eu storfa ymddiriedolaeth gyda nhw. Ac nid ydynt bob amser yn cynnwys yr hyn yr hoffent ei weld. . Ac yn Linux, nid yw pecynnau fel ca-tystysgrifau bob amser yn cael eu diweddaru. Yn y diwedd, mae'n ymddangos bod popeth mewn trefn, ond nid yw rhywbeth yn gweithio yma ac acw.
O Ffigur 1, mae'n amlwg, er bod popeth yn edrych yn normal i'r mwyafrif helaeth, bod rhywbeth wedi torri i rywun a bod y traffig wedi gostwng yn amlwg (llinell goch chwith), yna tyfodd pan ddisodlwyd un o'r tystysgrifau allweddol (llinell dde). Bu pyliau yn y canol, pan newidiwyd tystysgrifau eraill, ar ba rai y dibynnai rhywbeth hefyd. Gan fod popeth yn weledol yn parhau i weithio'n fwy neu'n llai rheolaidd ar gyfer y mwyafrif (ac eithrio diffygion rhyfedd fel yr amhosibilrwydd o lwytho lluniau ar Habrastorage), gallwn ddod i gasgliad anuniongyrchol ynghylch nifer y cleientiaid etifeddiaeth a bots ar Habré.
Ffigur 1. Graff o "traffig" ar Habré.
Mae Ffigur 2 yn dangos sut mae cadwyn “amgen” yn cael ei hadeiladu mewn fersiynau cyfredol o borwyr i dystysgrif CA dibynadwy ym mhorwr y defnyddiwr, hyd yn oed os oes tystysgrif “pydru” yn y gadwyn. Dyma, fel y credai Sectigo ei hun, yw'r union reswm i beidio â gwneud dim.
Ffigur 2. Cadwyn i dystysgrif y gellir ymddiried ynddi ar gyfer fersiwn porwr modern.
Ond yn Ffigur 3, gallwch weld sut mae popeth yn edrych mewn gwirionedd pan aeth rhywbeth o'i le ac mae gennym ni system etifeddiaeth. Yn yr achos hwn, nid yw'r cysylltiad HTTPS wedi'i sefydlu a gwelwn wall fel "methu dilysu tystysgrif" neu debyg.
Ffigur 3. Roedd y gadwyn yn annilys oherwydd bod y dystysgrif gwraidd a'r canolradd a lofnodwyd ganddi yn "pydru".
Yn Ffigur 4, rydym eisoes yn gweld “ateb” ar gyfer systemau etifeddol: mae tystysgrif ganolraddol arall, neu yn hytrach “croeslofnod” gan Awdurdod Cymwys arall, sydd fel arfer yn cael ei osod ymlaen llaw mewn systemau etifeddol. Dyma beth sydd angen i chi ei wneud: dewch o hyd i'r dystysgrif hon (sydd wedi'i nodi fel lawrlwythiad Extra) a gosodwch hi yn lle'r un "pydru".
Ffigur 4. Cadwyn amgen ar gyfer systemau etifeddol.
Gyda llaw: ni chafodd y broblem gyhoeddusrwydd eang a rhyw fath o drafodaeth gyhoeddus, gan gynnwys oherwydd haerllugrwydd gormodol Sectigo. Er enghraifft, dyma farn un o'r darparwyr tystysgrifau yn i'r sefyllfa hon:
Yn flaenorol maent [Sectigo] wedi sicrhau pawb na fydd unrhyw broblemau. Fodd bynnag, y gwir amdani yw bod rhai gweinyddwyr/dyfeisiau etifeddol yn cael eu heffeithio.
Mae honno’n sefyllfa chwerthinllyd. Fe wnaethom dynnu eu sylw at yr AddTrust RSA/ECC a oedd yn dod i ben sawl gwaith o fewn blwyddyn a phob tro y rhoddodd Sectigo sicrwydd i ni na fyddai unrhyw broblemau.
Gofynnais yn bersonol ar Stack Overflow am hyn fis yn ôl, ond mae'n debyg, nid yw cynulleidfa'r prosiect yn addas iawn ar gyfer cwestiynau o'r fath, felly roedd yn rhaid i mi ei ateb fy hun ar ôl y dadansoddiad.
Sectigo Mae Cwestiynau Cyffredin ar y pwnc hwn, ond mae mor annarllenadwy ac mor hir fel ei bod yn amhosibl ei ddefnyddio. Dyma ddyfyniad sy'n hanfod y cyhoeddiad cyfan:
Yr hyn y mae angen i chi ei wneud
Ar gyfer y rhan fwyaf o achosion defnydd, gan gynnwys tystysgrifau sy'n gwasanaethu systemau cleient neu weinydd modern, nid oes angen gweithredu, p'un a ydych wedi cyhoeddi tystysgrifau wedi'u trawsgadwyno i wraidd AddTrust ai peidio.O Ebrill 30, 2020: Ar gyfer prosesau busnes sy'n dibynnu ar systemau hen iawn, mae Sectigo wedi sicrhau bod gwreiddyn etifeddiaeth newydd ar gael (yn ddiofyn yn y bwndeli tystysgrif) ar gyfer croeslofnodi, gwraidd “Gwasanaethau Tystysgrif AAA”. Fodd bynnag, byddwch yn ofalus iawn ynghylch unrhyw broses sy'n dibynnu ar systemau etifeddiaeth hen iawn. Mae'n anochel y bydd systemau nad ydynt wedi derbyn y diweddariadau angenrheidiol i gefnogi gwreiddiau mwy newydd fel gwraidd COMODO Sectigo yn colli diweddariadau diogelwch hanfodol eraill a dylid eu hystyried yn ansicr. Os hoffech groes-lofnodi i wraidd Gwasanaethau Tystysgrif AAA o hyd, cysylltwch â Sectigo yn uniongyrchol.
Dwi’n hoff iawn o’r thesis “hen iawn”, wrth gwrs. Er enghraifft, cyrlio yn y consol o Ubuntu Linux 18.04 LTS (ein OS sylfaen ar hyn o bryd) gyda'r diweddariadau diweddaraf heb fod yn hŷn na mis, mae'n anodd galw hen iawn, ond nid yw'n gweithio.
Rhyddhaodd y rhan fwyaf o ddosbarthwyr tystysgrif eu nodiadau penderfyniad ddiwedd prynhawn Mai 30ain. Er enghraifft, yn addas iawn mewn termau technegol o (gyda disgrifiad penodol o beth i'w wneud a gyda bwndeli CA parod mewn archifau sip, ond dim ond RSA):
Ffigur 5. Saith cam i drwsio pethau'n gyflym.
Mae o Redhat, ond mae mwy a mwy o Etifeddiaeth ac mae angen i chi osod tystysgrif etifeddiaeth gwraidd hyd yn oed yn fwy gan Comodo er mwyn i bopeth weithio.
penderfyniad
Mae'n werth dyblygu'r ateb yma hefyd. Isod mae dwy set o gadwyni ar gyfer tystysgrifau DV Sectigo (nid Comodo!), un ar gyfer y tystysgrifau RSA cyfarwydd, a'r llall ar gyfer y tystysgrifau ECC (ECDSA) llai cyfarwydd (rydym wedi bod yn defnyddio dwy gadwyn ers amser maith). Gyda ECC, roedd yn anoddach, gan nad yw'r rhan fwyaf o atebion yn ystyried presenoldeb tystysgrifau o'r fath oherwydd eu mynychder isel. O ganlyniad, canfuwyd y dystysgrif ganolradd ofynnol ar .
Cadwyn ar gyfer tystysgrifau yn seiliedig ar algorithm allweddol RSA. Cymharwch â'ch cadwyn a nodwch mai dim ond y dystysgrif isaf sydd wedi'i disodli, tra bod yr un uchaf wedi aros yr un peth. Rwy'n eu gwahaniaethu gartref yn ôl y tri nod olaf o flociau base64, heb gyfrif y cymeriad “cyfartal” (yn yr achos hwn En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Cadwyn ar gyfer tystysgrifau yn seiliedig ar algorithm allweddol ECC. Yn yr un modd â'r gadwyn ar gyfer RSA, dim ond y dystysgrif isaf a ddisodlwyd, tra arhosodd yr un uchaf yr un peth (yn yr achos hwn fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Dyna 'n bert lawer. Diolch am eich sylw.
Ffynhonnell: hab.com