Το Σάββατο, 30 Μαΐου 2020, προέκυψε ένα όχι άμεσα ξεκάθαρο πρόβλημα με δημοφιλή πιστοποιητικά SSL / TLS από τον προμηθευτή Sectigo (πρώην Comodo). Τα ίδια τα πιστοποιητικά συνέχισαν να είναι σε άψογη σειρά, ωστόσο, ένα από τα ενδιάμεσα πιστοποιητικά ΑΠ στις αλυσίδες με τις οποίες παρέχονται αυτά τα πιστοποιητικά χάλασε. Η κατάσταση δεν είναι μοιραία, αλλά δυσάρεστη: οι τρέχουσες εκδόσεις των προγραμμάτων περιήγησης δεν παρατήρησαν τίποτα, ωστόσο, οι περισσότεροι αυτοματισμοί και τα παλιά προγράμματα περιήγησης / λειτουργικά συστήματα δεν ήταν έτοιμα για μια τέτοια στροφή.
Το Habr δεν αποτέλεσε εξαίρεση, γι' αυτό και γράφτηκε αυτό το εκπαιδευτικό πρόγραμμα / μεταθανάτιο.
TL? DR Λύση στο τέλος.
Ας παραλείψουμε τη βασική θεωρία σχετικά με τα PKI, SSL / TLS, https και άλλα. Ο μηχανισμός του ελέγχου ταυτότητας με ένα πιστοποιητικό ασφαλείας τομέα είναι η δημιουργία μιας αλυσίδας από έναν αριθμό πιστοποιητικών σε ένα από αυτά που εμπιστεύονται το πρόγραμμα περιήγησης ή το λειτουργικό σύστημα, τα οποία είναι αποθηκευμένα στο λεγόμενο Trust Store. Αυτή η λίστα διανέμεται με το λειτουργικό σύστημα, το οικοσύστημα χρόνου εκτέλεσης κώδικα ή το πρόγραμμα περιήγησης. Οποιαδήποτε πιστοποιητικά έχουν ημερομηνία λήξης μετά την οποία θεωρούνται μη αξιόπιστα, συμπεριλαμβανομένων των πιστοποιητικών στο κατάστημα αξιοπιστίας. Πώς έμοιαζε η αλυσίδα εμπιστοσύνης πριν από τη μοιραία μέρα; Ένα διαδικτυακό βοηθητικό πρόγραμμα θα μας βοηθήσει να το καταλάβουμε από την Qualys.
Έτσι, ένα από τα πιο δημοφιλή «εμπορικά» πιστοποιητικά είναι το Sectigo Positive SSL (πρώην Comodo Positive SSL, πιστοποιητικά με αυτό το όνομα εξακολουθούν να χρησιμοποιούνται), είναι το λεγόμενο DV-certificate. Το DV είναι το πιο πρωτόγονο επίπεδο πιστοποίησης, που σημαίνει επαλήθευση της πρόσβασης στη διαχείριση τομέα από τον εκδότη ενός τέτοιου πιστοποιητικού. Στην πραγματικότητα, το DV σημαίνει "επικύρωση τομέα". Για αναφορά: υπάρχει επίσης OV (επικύρωση οργανισμού) και EV (εκτεταμένη επικύρωση) και ένα δωρεάν πιστοποιητικό από το Let's Encrypt είναι επίσης DV. Για όσους για κάποιο λόγο δεν είναι ικανοποιημένοι με τον μηχανισμό ACME, το προϊόν Positive SSL είναι το πιο κατάλληλο από άποψη τιμής/χαρακτηριστικών (ένα πιστοποιητικό ενός τομέα κοστίζει περίπου 5-7 δολάρια το χρόνο με συνολική διάρκεια ισχύος πιστοποιητικού άνω έως 2 χρόνια και 3 μήνες).
Το Sectigo DV Generic Certificate (RSA) μέχρι πρόσφατα είχε αυτή την αλυσίδα ενδιάμεσων CA:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityΔεν υπάρχει «τρίτο πιστοποιητικό», αυτο-υπογεγραμμένο από την AddTrust AB, αφού κάποια στιγμή θεωρήθηκε κακή συμπεριφορά η συμπερίληψη αυτο-υπογεγραμμένων πιστοποιητικών ρίζας σε αλυσίδες. Λάβετε υπόψη ότι η ενδιάμεση ΑΠ που εκδίδεται από το UserTrust της AddTrust έχει ημερομηνία λήξης στις 30 Μαΐου 2020. Αυτό δεν είναι εύκολο, καθώς είχε προγραμματιστεί μια διαδικασία παροπλισμού για αυτήν την ΑΠ. Θεωρήθηκε ότι έως τις 30 Μαΐου 2020, θα εμφανιζόταν ένα διασταυρωμένο πιστοποιητικό από την UserTrust σε όλα τα καταστήματα εμπιστοσύνης (κάτω από την κουκούλα, αυτό είναι το ίδιο πιστοποιητικό ή μάλλον ένα δημόσιο κλειδί) και η αλυσίδα, ακόμη και με Περιλαμβάνεται ήδη μη αξιόπιστο πιστοποιητικό, θα έχει εναλλακτικές διαδρομές κατασκευής και κανείς δεν θα το προσέξει. Ωστόσο, τα σχέδια κατέρρευσαν στην πραγματικότητα, δηλαδή ο μακροσκελής όρος «συστήματα παλαιού τύπου». Πράγματι, οι ιδιοκτήτες των τρεχουσών εκδόσεων των προγραμμάτων περιήγησης δεν παρατήρησαν τίποτα, ωστόσο, το βουνό του αυτοματισμού που χτίστηκε σε βιβλιοθήκες curl και ssl / tls ορισμένων γλωσσών προγραμματισμούκαι περιβαλλόντων εκτέλεσης κώδικα έσπασε. Πρέπει να γίνει κατανοητό ότι πολλά προϊόντα δεν καθοδηγούνται από τα εργαλεία δημιουργίας αλυσίδας που είναι ενσωματωμένα στο λειτουργικό σύστημα, αλλά «κουβαλούν» μαζί τους το κατάστημα εμπιστοσύνης τους. Και δεν περιέχουν πάντα αυτό που θα ήθελαν να δουν. . Και στο Linux, πακέτα όπως τα πιστοποιητικά ca δεν ενημερώνονται πάντα. Τελικά όλα δείχνουν να είναι εντάξει, αλλά κάτι δεν λειτουργεί που και που.
Από το Σχήμα 1, είναι σαφές ότι, αν και όλα φαίνονταν ως συνήθως για τη συντριπτική πλειοψηφία, κάτι έσπασε για κάποιον και η κίνηση μειώθηκε αισθητά (αριστερά κόκκινη γραμμή), στη συνέχεια αυξήθηκε όταν αντικαταστάθηκε ένα από τα βασικά πιστοποιητικά (δεξιά γραμμή). Υπήρχαν ριπές στη μέση, όταν άλλαξαν άλλα πιστοποιητικά, από τα οποία εξαρτιόταν και κάτι. Δεδομένου ότι για την πλειονότητα τα πάντα οπτικά συνέχισαν να λειτουργούν περισσότερο ή λιγότερο τακτικά (με εξαίρεση τις περίεργες δυσλειτουργίες όπως η αδυναμία φόρτωσης εικόνων στο Habrastorage), μπορούμε να βγάλουμε ένα έμμεσο συμπέρασμα σχετικά με τον αριθμό των παλαιών πελατών και των bots στο Habré.
Εικόνα 1. Γράφημα «κυκλοφορίας» στο Habré.
Το Σχήμα 2 δείχνει πώς δημιουργείται μια "εναλλακτική" αλυσίδα στις τρέχουσες εκδόσεις των προγραμμάτων περιήγησης σε ένα αξιόπιστο πιστοποιητικό CA στο πρόγραμμα περιήγησης του χρήστη, ακόμα κι αν υπάρχει ένα "σάπιο" πιστοποιητικό στην αλυσίδα. Αυτός, όπως πίστευε και η ίδια η Sectigo, είναι ο λόγος για να μην κάνεις τίποτα.
Εικόνα 2. Αλυσίδα σε ένα αξιόπιστο πιστοποιητικό για μια σύγχρονη έκδοση προγράμματος περιήγησης.
Αλλά στο Σχήμα 3, μπορείτε να δείτε πώς φαίνονται πραγματικά όλα όταν κάτι πήγε στραβά και έχουμε ένα παλαιού τύπου σύστημα. Σε αυτήν την περίπτωση, η σύνδεση HTTPS δεν έχει δημιουργηθεί και βλέπουμε ένα σφάλμα όπως "αποτυχία επικύρωσης πιστοποιητικού" ή παρόμοιο.
Εικόνα 3. Η αλυσίδα ακυρώθηκε επειδή το πιστοποιητικό ρίζας και το ενδιάμεσο που υπογράφει ήταν "σάπια".
Στο σχήμα 4, βλέπουμε ήδη μια «λύση» για παλαιού τύπου συστήματα: υπάρχει ένα άλλο ενδιάμεσο πιστοποιητικό, ή μάλλον μια «διασταυρούμενη υπογραφή» από άλλη ΑΠ, η οποία είναι συνήθως προεγκατεστημένη σε παλαιού τύπου συστήματα. Αυτό πρέπει να κάνετε: βρείτε αυτό το πιστοποιητικό (το οποίο επισημαίνεται ως Extra download) και αντικαταστήστε το "σάπιο" με αυτό.
Εικόνα 4. Εναλλακτική αλυσίδα για παλαιού τύπου συστήματα.
Παρεμπιπτόντως: το πρόβλημα δεν είχε ευρεία δημοσιότητα και κάποιου είδους δημόσια συζήτηση, μεταξύ άλλων λόγω της υπερβολικής αλαζονείας του Sectigo. Για παράδειγμα, εδώ είναι η γνώμη ενός από τους παρόχους πιστοποιητικών σε αυτή την κατάσταση:
Παλαιότερα αυτοί [Sectigo] διαβεβαίωσε όλους ότι δεν θα υπάρξουν προβλήματα. Ωστόσο, η πραγματικότητα είναι ότι επηρεάζονται ορισμένοι διακομιστές/συσκευές παλαιού τύπου.
Αυτή είναι μια γελοία κατάσταση. Δώσαμε την προσοχή τους στο λήγει το AddTrust RSA/ECC πολλές φορές μέσα σε ένα χρόνο και κάθε φορά που η Sectigo μας διαβεβαίωνε ότι δεν θα υπάρχουν προβλήματα.
Ρώτησα προσωπικά στο Stack Overflow για αυτό πριν από ένα μήνα, αλλά προφανώς, το κοινό του έργου δεν είναι πολύ κατάλληλο για τέτοιες ερωτήσεις, οπότε έπρεπε να το απαντήσω μόνος μου μετά την ανάλυση.
Sectigo Υπάρχει ένα FAQ σχετικά με αυτό το θέμα, αλλά είναι τόσο δυσανάγνωστο και μακροσκελές που είναι αδύνατο να το χρησιμοποιήσετε. Ακολουθεί ένα απόσπασμα που είναι η πεμπτουσία ολόκληρης της δημοσίευσης:
Τι πρέπει να κάνεις
Για τις περισσότερες περιπτώσεις χρήσης, συμπεριλαμβανομένων των πιστοποιητικών που εξυπηρετούν σύγχρονα συστήματα πελατών ή διακομιστών, δεν απαιτείται καμία ενέργεια, είτε έχετε εκδώσει πιστοποιητικά διασυνδεδεμένα με τη ρίζα του AddTrust.Από τον Απρίλιο του 30, 2020: Για επιχειρηματικές διαδικασίες που εξαρτώνται από πολύ παλιά συστήματα, η Sectigo έχει διαθέσει (από προεπιλογή στα πακέτα πιστοποιητικών) μια νέα ρίζα παλαιού τύπου για διασταυρούμενη υπογραφή, τη ρίζα «Υπηρεσίες πιστοποιητικών AAA». Ωστόσο, να είστε ιδιαίτερα προσεκτικοί σχετικά με οποιαδήποτε διαδικασία εξαρτάται από πολύ παλιά παλαιού τύπου συστήματα. Τα συστήματα που δεν έχουν λάβει τις αναγκαίες ενημερώσεις για την υποστήριξη νεότερων ριζών, όπως η ρίζα COMODO του Sectigo, αναπόφευκτα θα λείπουν άλλες βασικές ενημερώσεις ασφαλείας και θα πρέπει να θεωρούνται μη ασφαλή. Εάν εξακολουθείτε να θέλετε να υπογράψετε τη ρίζα των Υπηρεσιών πιστοποιητικών AAA, επικοινωνήστε απευθείας με τη Sectigo.
Μου αρέσει πολύ η «πολύ παλιά» διατριβή, φυσικά. Για παράδειγμα, μπούκλα στην κονσόλα του Ubuntu Linux 18.04 LTS (το βασικό μας λειτουργικό σύστημα αυτή τη στιγμή) με τις πιο πρόσφατες ενημερώσεις όχι παλαιότερες από ένα μήνα, είναι δύσκολο να χαρακτηριστεί πολύ παλιό, αλλά δεν λειτουργεί.
Οι περισσότεροι διανομείς πιστοποιητικών δημοσίευσαν τις σημειώσεις απόφασής τους αργά το απόγευμα της 30ης Μαΐου. Για παράδειγμα, πολύ κατάλληλο από τεχνική άποψη από (με συγκεκριμένη περιγραφή του τι πρέπει να κάνετε και με έτοιμα πακέτα CA σε αρχεία zip, αλλά μόνο RSA):
Εικόνα 5. Επτά βήματα για να διορθώσετε γρήγορα τα πράγματα.
Υπάρχει από το Redhat, αλλά υπάρχει όλο και περισσότερο Legacy και πρέπει να εγκαταστήσετε ένα ακόμη πιο πιστοποιητικό παλαιού τύπου root από την Comodo για να λειτουργούν όλα.
Λύση
Αξίζει να αντιγράψουμε τη λύση και εδώ. Παρακάτω υπάρχουν δύο σετ αλυσίδων για πιστοποιητικά DV Sectigo (όχι Comodo!), το ένα για τα γνωστά πιστοποιητικά RSA, το άλλο για τα λιγότερο γνωστά πιστοποιητικά ECC (ECDSA) (χρησιμοποιούμε δύο αλυσίδες εδώ και πολύ καιρό). Με το ECC, ήταν πιο δύσκολο, καθώς οι περισσότερες λύσεις δεν λαμβάνουν υπόψη την παρουσία τέτοιων πιστοποιητικών λόγω της χαμηλής τους επικράτησης. Ως αποτέλεσμα, βρέθηκε το απαιτούμενο ενδιάμεσο πιστοποιητικό στις .
Αλυσίδα για πιστοποιητικά με βάση τον αλγόριθμο κλειδιού RSA. Συγκρίνετε με την αλυσίδα σας και σημειώστε ότι μόνο το κάτω πιστοποιητικό έχει αντικατασταθεί, ενώ το πάνω έχει παραμείνει ίδιο. Τα ξεχωρίζω στο σπίτι από τους τρεις τελευταίους χαρακτήρες των μπλοκ base64, χωρίς να υπολογίζω τον χαρακτήρα "ίσο" (σε αυτήν την περίπτωση En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Αλυσίδα για πιστοποιητικά με βάση τον αλγόριθμο κλειδιού ECC. Ομοίως με την αλυσίδα για RSA, αντικαταστάθηκε μόνο το κάτω πιστοποιητικό, ενώ το πάνω παρέμεινε ίδιο (στην περίπτωση αυτή fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----
MIIDqDCCAy6gAwIBAgIRAPNkTmtuAFAjfglGvXvh9R0wCgYIKoZIzj0EAwMwgYgx
CzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5MRQwEgYDVQQHEwtKZXJz
ZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBOZXR3b3JrMS4wLAYDVQQD
EyVVU0VSVHJ1c3QgRUNDIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MB4XDTE4MTEw
MjAwMDAwMFoXDTMwMTIzMTIzNTk1OVowgY8xCzAJBgNVBAYTAkdCMRswGQYDVQQI
ExJHcmVhdGVyIE1hbmNoZXN0ZXIxEDAOBgNVBAcTB1NhbGZvcmQxGDAWBgNVBAoT
D1NlY3RpZ28gTGltaXRlZDE3MDUGA1UEAxMuU2VjdGlnbyBFQ0MgRG9tYWluIFZh
bGlkYXRpb24gU2VjdXJlIFNlcnZlciBDQTBZMBMGByqGSM49AgEGCCqGSM49AwEH
A0IABHkYk8qfbZ5sVwAjBTcLXw9YWsTef1Wj6R7W2SUKiKAgSh16TwUwimNJE4xk
IQeV/To14UrOkPAY9z2vaKb71EijggFuMIIBajAfBgNVHSMEGDAWgBQ64QmG1M8Z
wpZ2dEl23OA1xmNjmjAdBgNVHQ4EFgQU9oUKOxGG4QR9DqoLLNLuzGR7e64wDgYD
VR0PAQH/BAQDAgGGMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYDVR0lBBYwFAYIKwYB
BQUHAwEGCCsGAQUFBwMCMBsGA1UdIAQUMBIwBgYEVR0gADAIBgZngQwBAgEwUAYD
VR0fBEkwRzBFoEOgQYY/aHR0cDovL2NybC51c2VydHJ1c3QuY29tL1VTRVJUcnVz
dEVDQ0NlcnRpZmljYXRpb25BdXRob3JpdHkuY3JsMHYGCCsGAQUFBwEBBGowaDA/
BggrBgEFBQcwAoYzaHR0cDovL2NydC51c2VydHJ1c3QuY29tL1VTRVJUcnVzdEVD
Q0FkZFRydXN0Q0EuY3J0MCUGCCsGAQUFBzABhhlodHRwOi8vb2NzcC51c2VydHJ1
c3QuY29tMAoGCCqGSM49BAMDA2gAMGUCMEvnx3FcsVwJbZpCYF9z6fDWJtS1UVRs
cS0chWBNKPFNpvDKdrdKRe+oAkr2jU+ubgIxAODheSr2XhcA7oz9HmedGdMhlrd9
4ToKFbZl+/OnFFzqnvOhcjHvClECEQcKmc8fmA==
-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Αυτό είναι λίγο πολύ. Σας ευχαριστώ για την προσοχή σας.
Πηγή: www.habr.com