Ar Fai 30, daeth cyfnod dilysrwydd 20 mlynedd y dystysgrif gwraidd i ben Pa cynhyrchu tystysgrifau wedi'u croeslofnodi gan un o'r awdurdodau ardystio mwyaf Sectigo (Comodo). Roedd traws-arwyddo yn caniatáu ar gyfer cydnawsedd â dyfeisiau etifeddiaeth nad oedd â'r dystysgrif gwraidd USERTRust newydd wedi'i hychwanegu at eu storfa tystysgrif gwraidd.
Yn ddamcaniaethol, ni ddylai terfynu tystysgrif gwraidd AddTrust ond arwain at dorri cydnawsedd â systemau etifeddiaeth (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, ac ati), gan fod yr ail dystysgrif gwraidd a ddefnyddir yn y croeslofnod yn parhau. mae porwyr dilys a modern yn ei gymryd i ystyriaeth wrth wirio'r gadwyn ymddiriedaeth. Ar ymarfer Problemau gyda dilysu traws-lofnod mewn cleientiaid TLS nad ydynt yn borwr, gan gynnwys y rhai sy'n seiliedig ar OpenSSL 1.0.x a GnuTLS. Nid yw cysylltiad diogel wedi'i sefydlu bellach gyda gwall yn nodi bod y dystysgrif wedi dyddio os yw'r gweinydd yn defnyddio tystysgrif Sectigo sydd wedi'i chysylltu gan gadwyn ymddiriedaeth â thystysgrif gwraidd AddTrust.
Os nad oedd defnyddwyr porwyr modern yn sylwi ar ddarfodiad tystysgrif gwraidd AddTrust wrth brosesu tystysgrifau Sectigo wedi'u traws-lofnodi, yna dechreuodd problemau godi mewn amrywiol gymwysiadau trydydd parti a thrinwyr ochr y gweinydd, a arweiniodd at llawer o seilwaith sy'n defnyddio sianeli cyfathrebu wedi'u hamgryptio ar gyfer rhyngweithio rhwng cydrannau.
Er enghraifft, roedd yna gyda mynediad i rai ystorfeydd pecyn yn Debian a Ubuntu (dechreuodd apt gynhyrchu gwall dilysu tystysgrif), dechreuodd ceisiadau gan sgriptiau sy'n defnyddio'r cyfleustodau “curl” a “wget” fethu, gwelwyd gwallau wrth ddefnyddio Git, Mae platfform ffrydio Roku yn gweithio, nid yw trinwyr yn cael eu galw mwyach и , dechrau mewn apps Heroku, Mae cleientiaid OpenLDAP yn cysylltu, mae problemau gydag anfon post i weinyddion SMTPS a SMTP gyda STARTTLS yn cael eu canfod. Yn ogystal, gwelir problemau mewn amrywiol sgriptiau Ruby, PHP a Python sy'n defnyddio modiwl gyda chleient http. Problem porwr Ystwyll, a roddodd y gorau i lwytho rhestrau blocio hysbysebion.
Nid yw'r broblem hon yn effeithio ar raglenni Go oherwydd bod Go yn cynnig TLS.
bod y broblem yn effeithio ar ddatganiadau dosbarthu hŷn (gan gynnwys Debian 9, Ubuntu 16.04, ) sy'n defnyddio canghennau OpenSSL problemus, ond y broblem hefyd pan fydd rheolwr pecyn APT yn rhedeg mewn datganiadau cyfredol o Debian 10 a Ubuntu 18.04 / 20.04, gan fod APT yn defnyddio llyfrgell GnuTLS. Craidd y broblem yw bod llawer o lyfrgelloedd TLS / SSL yn dosrannu tystysgrif fel cadwyn llinol, ond yn ôl RFC 4158, gall tystysgrif gynrychioli graff cylchol dosbarthedig cyfeiriedig gydag angorau ymddiriedolaeth lluosog y mae angen eu hystyried. Am y diffyg hwn yn OpenSSL a GnuTLS . Yn OpenSSL cafodd y broblem ei datrys yng nghangen 1.1.1, ac mewn olion .
Fel ateb, argymhellir tynnu'r dystysgrif “AddTrust External CA Root” o storfa'r system (er enghraifft, tynnu o /etc/ca-certificates.conf a /etc/ssl/certs, ac yna rhedeg "update-ca -certificates -f -v”), ac ar ôl hynny mae OpenSSL yn dechrau prosesu tystysgrifau wedi'u traws-lofnodi gyda'i gyfranogiad. Wrth ddefnyddio'r rheolwr pecyn APT, gallwch analluogi dilysu tystysgrif ar gyfer ceisiadau unigol ar eich menter eich hun (er enghraifft, “apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false”) .
I rwystro'r broblem i mewn и Cynigir ychwanegu tystysgrif AddTrust at y rhestr ddu:
trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
diweddariad-ca-trust dyfyniad
Ond y dull hwn ar gyfer GnuTLS (er enghraifft, mae gwall dilysu tystysgrif yn parhau i ymddangos wrth redeg y cyfleustodau wget).
Ar ochr y gweinydd gallwch chi rhestru'r tystysgrifau yn y gadwyn ymddiriedaeth a anfonwyd gan y gweinydd at y cleient (os caiff y dystysgrif sy'n gysylltiedig â "AddTrust External CA Root" ei thynnu o'r rhestr, yna bydd dilysiad y cleient yn llwyddiannus). I wirio a chynhyrchu cadwyn ymddiriedaeth newydd, gallwch ddefnyddio'r gwasanaeth . Sectigo hefyd tystysgrif ganolradd groes-lofnod amgen"“, a fydd yn ddilys tan 2028 ac a fydd yn parhau i fod yn gydnaws â fersiynau hŷn o'r OS.
Ychwanegu: Problem hefyd yn LibreSSL.
Ffynhonnell: opennet.ru