Am Samstag, 30. Mai 2020, trat ein nicht sofort klares Problem mit beliebten SSL/TLS-Zertifikaten des Anbieters Sectigo (ehemals Comodo) auf. Die Zertifikate selbst waren weiterhin in einwandfreiem Zustand, allerdings war eines der Zwischen-CA-Zertifikate in den Ketten, mit denen diese Zertifikate geliefert wurden, kaputt. Die Situation ist zwar nicht fatal, aber unangenehm: Die aktuellen Browserversionen haben davon nichts gemerkt, die meisten Automatisierungen und alten Browser/Betriebssysteme waren jedoch für eine solche Wende nicht bereit.
Habr war keine Ausnahme, weshalb dieses Bildungsprogramm / Obduktion geschrieben wurde.
TL; DR Lösung ganz am Ende.
Lassen wir die grundlegende Theorie zu PKI, SSL/TLS, https und mehr überspringen. Der Mechanismus der Authentifizierung mit einem Domänensicherheitszertifikat besteht darin, eine Kette mehrerer Zertifikate zu einem der vom Browser oder Betriebssystem vertrauenswürdigen Zertifikate aufzubauen, die im sogenannten Trust Store gespeichert werden. Diese Liste wird mit dem Betriebssystem, dem Code-Laufzeit-Ökosystem oder dem Browser verteilt. Alle Zertifikate haben ein Ablaufdatum, nach dem sie als nicht vertrauenswürdig gelten, auch Zertifikate im Trust Store. Wie sah die Vertrauenskette vor dem schicksalhaften Tag aus? Ein Web-Dienstprogramm wird uns dabei helfen, es herauszufinden von Qualys.
Eines der beliebtesten „kommerziellen“ Zertifikate ist Sectigo Positive SSL (früher Comodo Positive SSL, Zertifikate mit diesem Namen werden immer noch verwendet), es ist das sogenannte DV-Zertifikat. DV ist die einfachste Zertifizierungsstufe, d. h. die Überprüfung des Zugriffs auf die Domänenverwaltung durch den Aussteller eines solchen Zertifikats. Eigentlich steht DV für „Domain Validation“. Als Referenz: Es gibt auch OV (Organisationsvalidierung) und EV (erweiterte Validierung) und ein kostenloses Zertifikat von Let's Encrypt ist auch DV. Für diejenigen, die aus irgendeinem Grund mit dem ACME-Mechanismus nicht zufrieden sind, ist das Positive SSL-Produkt hinsichtlich Preis/Funktionen am besten geeignet (ein Einzeldomänenzertifikat kostet etwa 5–7 Dollar pro Jahr bei einer Gesamtgültigkeitsdauer des Zertifikats von bis zu bis 2 Jahre und 3 Monate).
Das Sectigo DV Generic Certificate (RSA) wurde bis vor kurzem mit dieser Kette von Zwischenzertifizierungsstellen geliefert:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityEs gibt kein „drittes Zertifikat“, selbstsigniert von AddTrust AB, da es irgendwann als unhöflich galt, selbstsignierte Stammzertifikate in Ketten einzubinden. Beachten Sie, dass die von AddTrusts UserTrust ausgestellte Zwischenzertifizierungsstelle ein Ablaufdatum vom 30. Mai 2020 hat. Dies ist nicht einfach, da für diese CA ein Stilllegungsverfahren geplant war. Man ging davon aus, dass bis zum 30. Mai 2020 in allen Trust Stores ein kreuzsigniertes Zertifikat von UserTrust auftauchen würde (unter der Haube handelt es sich dabei um dasselbe Zertifikat bzw. einen öffentlichen Schlüssel) und die Kette, sogar mit dem Da bereits ein nicht vertrauenswürdiges Zertifikat enthalten ist, werden alternative Pfade aufgebaut und niemand wird es bemerken. Die Pläne scheiterten jedoch an der Realität, nämlich dem langwierigen Begriff „Legacy-Systeme“. Tatsächlich bemerkten die Besitzer aktueller Browserversionen nichts davon, jedoch brach der Berg der auf Curl- und SSL/TLS-Bibliotheken einer Reihe von Programmiersprachen und Codeausführungsumgebungen aufgebauten Automatisierung zusammen. Es sollte klar sein, dass sich viele Produkte nicht an den im Betriebssystem integrierten Chain-Building-Tools orientieren, sondern ihren Trust Store mit sich führen. Und sie enthalten nicht immer das, was sie gerne sehen würden. . Und unter Linux werden Pakete wie ca-Zertifikate nicht immer aktualisiert. Am Ende scheint alles in Ordnung zu sein, aber hier und da funktioniert etwas nicht.
Aus Abbildung 1 wird deutlich, dass, obwohl für die überwiegende Mehrheit alles wie gewohnt aussah, bei jemandem etwas kaputt ging und der Datenverkehr merklich zurückging (linke rote Linie), dann aber zunahm, als eines der Schlüsselzertifikate ersetzt wurde (rechte Linie). Zwischendurch kam es zu Ausbrüchen, als andere Zertifikate geändert wurden, von denen auch etwas abhing. Da für die Mehrheit optisch alles mehr oder weniger regelmäßig funktionierte (mit Ausnahme seltsamer Störungen wie der Unmöglichkeit, Bilder auf Habrastorage zu laden), können wir eine indirekte Schlussfolgerung über die Anzahl der Legacy-Clients und Bots auf Habré ziehen.
Abbildung 1. Diagramm des „Verkehrs“ auf Habré.
Abbildung 2 zeigt, wie in aktuellen Browserversionen eine „alternative“ Kette zu einem vertrauenswürdigen CA-Zertifikat im Browser des Benutzers aufgebaut wird, selbst wenn sich in der Kette ein „faules“ Zertifikat befindet. Dies ist, wie Sectigo selbst glaubte, der eigentliche Grund, nichts zu tun.
Abbildung 2. Kette zu einem vertrauenswürdigen Zertifikat für eine moderne Browserversion.
Aber in Abbildung 3 können Sie sehen, wie alles wirklich aussieht, wenn etwas schief gelaufen ist und wir ein Altsystem haben. In diesem Fall wird die HTTPS-Verbindung nicht hergestellt und wir sehen einen Fehler wie „Zertifikatsvalidierung fehlgeschlagen“ oder ähnliches.
Abbildung 3. Die Kette wurde ungültig gemacht, weil das Stammzertifikat und das von ihm signierte Zwischenzertifikat „faul“ waren.
In Abbildung 4 sehen wir bereits eine „Lösung“ für Legacy-Systeme: Es gibt ein weiteres Zwischenzertifikat bzw. eine „Cross-Signatur“ einer anderen CA, die in der Regel in Legacy-Systemen vorinstalliert ist. Dies ist, was Sie tun müssen: Suchen Sie dieses Zertifikat (das als Extra-Download gekennzeichnet ist) und ersetzen Sie das „verdorbene“ durch dieses.
Abbildung 4. Alternative Kette für Legacy-Systeme.
Übrigens: Das Problem hatte keine breite Öffentlichkeit und keine öffentliche Diskussion, auch aufgrund der übermäßigen Arroganz von Sectigo. Hier ist zum Beispiel die Meinung eines der Zertifikatsanbieter in zu dieser Situation:
Zuvor sie [Sectigo] versicherte allen, dass es keine Probleme geben wird. Die Realität sieht jedoch so aus, dass einige ältere Server/Geräte betroffen sind.
Das ist eine lächerliche Situation. Wir haben sie innerhalb eines Jahres mehrmals auf das auslaufende AddTrust RSA/ECC aufmerksam gemacht und jedes Mal hat Sectigo uns versichert, dass es keine Probleme geben wird.
Ich habe persönlich nachgefragt Ich habe vor einem Monat auf Stack Overflow darüber berichtet, aber anscheinend ist das Publikum des Projekts für solche Fragen nicht sehr geeignet, sodass ich sie nach der Analyse selbst beantworten musste.
Sektigo Zu diesem Thema gibt es zwar eine FAQ, diese ist jedoch so unlesbar und langwierig, dass man sie nicht nutzen kann. Hier ist ein Zitat, das die Quintessenz der gesamten Veröffentlichung darstellt:
Was musst du machen
Für die meisten Anwendungsfälle, einschließlich Zertifikaten, die moderne Client- oder Serversysteme bedienen, ist keine Aktion erforderlich, unabhängig davon, ob Sie Zertifikate ausgestellt haben, die quer zum AddTrust-Stamm verkettet sind.Ab April 30, 2020: Für Geschäftsprozesse, die von sehr alten Systemen abhängen, hat Sectigo (standardmäßig in den Zertifikatspaketen) einen neuen Legacy-Root für Cross-Signing zur Verfügung gestellt, den „AAA Certificate Services“-Root. Seien Sie jedoch äußerst vorsichtig bei allen Prozessen, die auf sehr alten Legacy-Systemen basieren. Systeme, die nicht die notwendigen Updates zur Unterstützung neuerer Roots wie Sectigos COMODO-Root erhalten haben, werden zwangsläufig andere wichtige Sicherheitsupdates verpassen und sollten als unsicher betrachtet werden. Wenn Sie dennoch eine Quersignierung zum Stammverzeichnis der AAA Certificate Services durchführen möchten, wenden Sie sich bitte direkt an Sectigo.
Die „sehr alte“ These gefällt mir natürlich sehr gut. Wenn Sie beispielsweise die Konsole von Ubuntu Linux 18.04 LTS (unserem Basisbetriebssystem im Moment) mit den neuesten Updates, die nicht älter als einen Monat sind, einrollen, kann man das kaum als sehr alt bezeichnen, aber es funktioniert nicht.
Die meisten Zertifikatsvertriebe veröffentlichten ihre Entscheidungsnotizen am späten Nachmittag des 30. Mai. Zum Beispiel technisch sehr gut geeignet von (mit einer konkreten Beschreibung, was zu tun ist und mit vorgefertigten CA-Bundles in Zip-Archiven, aber nur RSA):
Abbildung 5. Sieben Schritte, um Probleme schnell zu beheben.
Es gibt von Redhat, aber es gibt immer mehr Legacy-Zertifikate und Sie müssen ein noch stärker verwurzeltes Legacy-Zertifikat von Comodo installieren, damit alles funktioniert.
Lösung
Auch hier lohnt es sich, die Lösung zu duplizieren. Nachfolgend finden Sie zwei Kettensätze für Zertifikate DV Sectigo (nicht Comodo!), eine für die bekannten RSA-Zertifikate, die andere für die weniger bekannten ECC-Zertifikate (ECDSA) (wir verwenden seit langem zwei Ketten). Bei ECC war es schwieriger, da die meisten Lösungen aufgrund ihrer geringen Verbreitung das Vorhandensein solcher Zertifikate nicht berücksichtigen. Als Ergebnis wurde das erforderliche Zwischenzeugnis gefunden .
Kette für Zertifikate basierend auf Schlüsselalgorithmus RSA. Vergleichen Sie mit Ihrer Kette und beachten Sie, dass nur das untere Zertifikat ersetzt wurde, während das obere gleich geblieben ist. Ich unterscheide sie zu Hause anhand der letzten drei Zeichen von Base64-Blöcken, das „Gleichheitszeichen“ (in diesem Fall) nicht mitgezählt En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Kette für Zertifikate basierend auf Schlüsselalgorithmus ECC. Ebenso wurde bei der Kette für RSA nur das untere Zertifikat ersetzt, während das obere gleich blieb (in diesem Fall). fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Das wars so ziemlich. Vielen Dank für Ihre Aufmerksamkeit.
Source: habr.com