Sabate la 30-an de majo 2020, ne tuj klara problemo ekestis kun popularaj SSL / TLS-atestiloj de la vendisto Sectigo (iama Comodo). La atestiloj mem daŭre estis en perfekta ordo, tamen, unu el la mezaj CA-atestiloj en la ĉenoj per kiuj tiuj atestiloj estis liveritaj putris. La situacio ne volas diri ke fatala, sed malagrabla: la nunaj versioj de retumiloj nenion rimarkis, tamen, la plej multaj el la aŭtomatigoj kaj malnovaj retumiloj/OS ne estis pretaj por tia turno.
Habr ne estis escepto, tial ĉi tiu eduka programo/postmortem estis verkita.
TL; DR Solvo ĉe la fino.
Ni saltu la bazan teorion pri PKI, SSL / TLS, https kaj pli. La mekaniko de aŭtentigo kun domajna sekureca atestilo estas konstrui ĉenon de kelkaj atestiloj al unu el tiuj fidindaj de la retumilo aŭ operaciumo, kiuj estas stokitaj en la tiel nomata Trust Store. Ĉi tiu listo estas distribuita per la operaciumo, koda rultempa ekosistemo aŭ retumilo. Ĉiuj atestiloj havas limdaton post kiu ili estas konsiderataj nefidindaj, inkluzive de atestiloj en la fidinda vendejo. Kiel aspektis la fidoĉeno antaŭ la fatala tago? Reta ilo helpos nin eltrovi ĝin de Qualys.
Do, unu el la plej popularaj "komercaj" atestiloj estas Sectigo Positive SSL (antaŭe Comodo Positive SSL, atestiloj kun ĉi tiu nomo ankoraŭ estas uzataj), ĝi estas la tiel nomata DV-atestilo. DV estas la plej primitiva nivelo de atestado, kio signifas konfirmon de aliro al domajna administrado fare de la emisianto de tia atestilo. Fakte, DV signifas "domajnan validigon". Por referenco: ekzistas ankaŭ OV (validigo de organizo) kaj EV (plilongigita validigo), kaj senpaga atestilo de Let's Encrypt estas ankaŭ DV. Por tiuj, kiuj ial ne kontentiĝas pri la ACME-mekanismo, la Pozitiva SSL-produkto estas la plej taŭga laŭ prezo / funkcioj (unu-domajna atestilo kostas ĉirkaŭ 5-7 dolarojn jare kun totala validecperiodo de ĝis. ĝis 2 jaroj kaj 3 monatoj).
La Sectigo DV Generic Certificate (RSA) ĝis antaŭ nelonge venis kun ĉi tiu ĉeno de mezaj CAoj:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityNe ekzistas "tria atestilo", memsubskribita de AddTrust AB, ĉar iam estis konsiderata malbona maniero inkluzivi memsubskribitajn radikajn atestojn en ĉenoj. Notu, ke la meza CA eldonita de UserTrust de AddTrust havas limdaton de la 30-a de majo 2020. Ĉi tio ne estas facila, ĉar malfunkciigo estis planita por ĉi tiu CA. Oni kredis, ke antaŭ la 30-a de majo 2020, krucsubskribita atestilo de UserTrust aperus en ĉiuj fidindaj vendejoj ĝis tiu ĉi tempo (sub la kapuĉo, ĉi tio estas la sama atestilo, aŭ pli ĝuste publika ŝlosilo) kaj la ĉeno, eĉ kun la jam nefidinda atestilo inkluzivita, havos alternativajn vojojn konstruante kaj neniu rimarkos. Tamen, la planoj kraŝis en realeco, nome la longedaŭra "heredaĵsistemoj". Efektive, la posedantoj de aktualaj versioj de retumiloj nenion rimarkis, tamen, la monto de aŭtomatigo konstruita sur curl kaj ssl / tls bibliotekoj de kelkaj programlingvoj kaj kodaj ekzekutmedioj rompiĝis. Oni devas kompreni, ke multaj produktoj ne estas gviditaj de la ĉenaj konstruaj iloj konstruitaj en la OS, sed "portas" sian fidan vendejon kun ili. Kaj ili ne ĉiam enhavas tion, kion ili ŝatus vidi. . Kaj en Linukso, pakoj kiel ca-atestiloj ne ĉiam estas ĝisdatigitaj. Fine ĉio ŝajnas esti en ordo, sed io ne funkcias tie kaj tie.
El Figuro 1, estas klare, ke kvankam ĉio aspektis normala por la granda plimulto, io rompiĝis por iu kaj la trafiko trempis rimarkeble (maldekstra ruĝa linio), tiam ĝi kreskis kiam unu el la ŝlosilaj atestiloj estis anstataŭigita (dekstra linio). Estis eksplodoj meze, kiam oni ŝanĝis aliajn atestojn, de kiuj ankaŭ dependis io. Ĉar por la plimulto ĉio videre daŭre funkciis pli-malpli regule (krom strangaj misfunkciadoj kiel la neeblo ŝarĝi bildojn sur Habrastorage), ni povas fari nerektan konkludon pri la nombro da heredaj klientoj kaj robotoj sur Habré.
Figuro 1. Grafiko de "trafiko" sur Habré.
Figuro 2 montras kiel "alternativa" ĉeno estas konstruita en aktualaj versioj de retumiloj al fidinda CA-atestilo en la retumilo de la uzanto, eĉ se estas "putra" atestilo en la ĉeno. Ĉi tio, kiel Sectigo mem kredis, estas la kialo mem por nenion fari.
Figuro 2. Ĉeni al fidinda atestilo por moderna retumila versio.
Sed en Figuro 3, vi povas vidi kiel ĉio vere aspektas kiam io misfunkciis kaj ni havas heredan sistemon. En ĉi tiu kazo, la HTTPS-konekto ne estas establita kaj ni vidas eraron kiel "atestilvalidigo malsukcesis" aŭ simila.
Figuro 3. La ĉeno estis nuligita ĉar la radika atestilo kaj la intera subskribita de ĝi estis "putraj".
En Figuro 4, ni jam vidas "solvon" por heredaĵsistemoj: ekzistas alia meza atestilo, aŭ pli ĝuste "krucsignaturo" de alia CA, kiu estas kutime antaŭinstalita en heredaĵsistemoj. Jen kion vi devas fari: trovu ĉi tiun atestilon (kiu estas markita kiel Ekstra elŝuto) kaj anstataŭigu la "putran" per ĝi.
Figuro 4. Alternativa ĉeno por heredaj sistemoj.
Cetere: la problemo ne havis larĝan diskonigon kaj ian publikan diskuton, inkluzive pro la troa aroganteco de Sectigo. Ekzemple, jen la opinio de unu el la atestiloj en al ĉi tiu situacio:
Antaŭe ili [Sektigo] certigis ĉiujn, ke neniuj problemoj estos. Tamen, la realo estas, ke iuj heredaj serviloj/aparatoj estas tuŝitaj.
Tio estas ridinda situacio. Ni atentigis ilian atenton al la eksvalidiĝanta AddTrust RSA/ECC plurfoje ene de jaro kaj ĉiufoje Sectigo certigis, ke neniu problemo estos.
Mi persone demandis en Stack Overflow pri tio antaŭ unu monato, sed ŝajne, la publiko de la projekto ne tre taŭgas por tiaj demandoj, do mi devis mem respondi ĝin post la analizo.
Sektigo Estas Oftaj Demandoj pri ĉi tiu temo, sed ĝi estas tiel nelegebla kaj longa ke estas neeble uzi ĝin. Jen citaĵo, kiu estas la kvintesenco de la tuta eldonaĵo:
Kion Vi Devas Fari
Por la plej multaj uzkazoj, inkluzive de atestiloj servantaj modernaj klientaj aŭ servilaj sistemoj, neniu ago estas bezonata, ĉu aŭ ne vi elsendis atestojn krucĉenigitajn al la AddTrust-radiko.Ekde la 30a de aprilo 2020: Por komercaj procezoj kiuj dependas de tre malnovaj sistemoj, Sectigo disponigis (defaŭlte en la atestpakaĵoj) novan heredan radikon por krucsubskribo, la radikon "AAA Certificate Services". Tamen, bonvolu uzu ekstreman singardon pri ajna procezo kiu dependas de tre malnovaj heredaj sistemoj. Sistemoj, kiuj ne ricevis la ĝisdatigojn necesajn por subteni pli novajn radikojn kiel la COMODO-radiko de Sectigo, neeviteble mankos aliajn esencajn sekurecajn ĝisdatigojn kaj devus esti konsiderataj nesekuraj. Se vi ankoraŭ ŝatus krucsubskribi al la radiko de AAA Certificate Services, bonvolu kontakti Sectigo rekte.
Mi tre ŝatas la "tre malnovan" tezon, kompreneble. Ekzemple, kurbiĝi en la konzolo de Ubuntu Linukso 18.04 LTS (nia baza VIN nuntempe) kun la lastaj ĝisdatigoj ne pli malnovaj ol monato, estas malfacile nomi tre malnova, sed ĝi ne funkcias.
Plej multaj atestildistribuistoj publikigis siajn decidnotojn en la malfrua posttagmezo de la 30-a de majo. Ekzemple, tre taŭga en teknikaj terminoj de (kun specifa priskribo de kion fari kaj kun pretaj CA-pakaĵoj en zip-arkivoj, sed nur RSA):
Figuro 5. Sep paŝoj por ripari aferojn rapide.
Ekzistas de Redhat, sed estas pli kaj pli da Heredaĵo kaj vi bezonas instali eĉ pli da radika heredatestilo de Comodo por ke ĉio funkciu.
decido
Indas duobligi la solvon ankaŭ ĉi tie. Malsupre estas du aroj de ĉenoj por atestiloj DV Sectigo (ne Comodo!), unu por la konataj RSA-atestiloj, la alia por la malpli konataj ECC (ECDSA) atestiloj (ni delonge uzas du ĉenojn). Kun ECC, ĝi estis pli malfacila, ĉar la plej multaj solvoj ne konsideras la ĉeeston de tiaj atestiloj pro ilia malalta tropezo. Kiel rezulto, la bezonata meza atestilo estis trovita sur .
Ĉeno por atestiloj bazita sur ŝlosila algoritmo RSA. Komparu kun via ĉeno kaj notu, ke nur la malsupra atestilo estis anstataŭigita, dum la supra restis la sama. Mi distingas ilin hejme per la lastaj tri signoj de baz64-blokoj, sen kalkuli la "egalan" karakteron (en ĉi tiu kazo En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----
MIIGEzCCA/ugAwIBAgIQfVtRJrR2uhHbdBYLvFMNpzANBgkqhkiG9w0BAQwFADCB
iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0pl
cnNleSBDaXR5MR4wHAYDVQQKExVUaGUgVVNFUlRSVVNUIE5ldHdvcmsxLjAsBgNV
BAMTJVVTRVJUcnVzdCBSU0EgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTgx
MTAyMDAwMDAwWhcNMzAxMjMxMjM1OTU5WjCBjzELMAkGA1UEBhMCR0IxGzAZBgNV
BAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4GA1UEBxMHU2FsZm9yZDEYMBYGA1UE
ChMPU2VjdGlnbyBMaW1pdGVkMTcwNQYDVQQDEy5TZWN0aWdvIFJTQSBEb21haW4g
VmFsaWRhdGlvbiBTZWN1cmUgU2VydmVyIENBMIIBIjANBgkqhkiG9w0BAQEFAAOC
AQ8AMIIBCgKCAQEA1nMz1tc8INAA0hdFuNY+B6I/x0HuMjDJsGz99J/LEpgPLT+N
TQEMgg8Xf2Iu6bhIefsWg06t1zIlk7cHv7lQP6lMw0Aq6Tn/2YHKHxYyQdqAJrkj
eocgHuP/IJo8lURvh3UGkEC0MpMWCRAIIz7S3YcPb11RFGoKacVPAXJpz9OTTG0E
oKMbgn6xmrntxZ7FN3ifmgg0+1YuWMQJDgZkW7w33PGfKGioVrCSo1yfu4iYCBsk
Haswha6vsC6eep3BwEIc4gLw6uBK0u+QDrTBQBbwb4VCSmT3pDCg/r8uoydajotY
uK3DGReEY+1vVv2Dy2A0xHS+5p3b4eTlygxfFQIDAQABo4IBbjCCAWowHwYDVR0j
BBgwFoAUU3m/WqorSs9UgOHYm8Cd8rIDZsswHQYDVR0OBBYEFI2MXsRUrYrhd+mb
+ZsF4bgBjWHhMA4GA1UdDwEB/wQEAwIBhjASBgNVHRMBAf8ECDAGAQH/AgEAMB0G
A1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjAbBgNVHSAEFDASMAYGBFUdIAAw
CAYGZ4EMAQIBMFAGA1UdHwRJMEcwRaBDoEGGP2h0dHA6Ly9jcmwudXNlcnRydXN0
LmNvbS9VU0VSVHJ1c3RSU0FDZXJ0aWZpY2F0aW9uQXV0aG9yaXR5LmNybDB2Bggr
BgEFBQcBAQRqMGgwPwYIKwYBBQUHMAKGM2h0dHA6Ly9jcnQudXNlcnRydXN0LmNv
bS9VU0VSVHJ1c3RSU0FBZGRUcnVzdENBLmNydDAlBggrBgEFBQcwAYYZaHR0cDov
L29jc3AudXNlcnRydXN0LmNvbTANBgkqhkiG9w0BAQwFAAOCAgEAMr9hvQ5Iw0/H
ukdN+Jx4GQHcEx2Ab/zDcLRSmjEzmldS+zGea6TvVKqJjUAXaPgREHzSyrHxVYbH
7rM2kYb2OVG/Rr8PoLq0935JxCo2F57kaDl6r5ROVm+yezu/Coa9zcV3HAO4OLGi
H19+24rcRki2aArPsrW04jTkZ6k4Zgle0rj8nSg6F0AnwnJOKf0hPHzPE/uWLMUx
RP0T7dWbqWlod3zu4f+k+TY4CFM5ooQ0nBnzvg6s1SQ36yOoeNDT5++SR2RiOSLv
xvcRviKFxmZEJCaOEDKNyJOuB56DPi/Z+fVGjmO+wea03KbNIaiGCpXZLoUmGv38
sbZXQm2V0TP2ORQGgkE49Y9Y3IBbpNV9lXj9p5v//cWoaasm56ekBYdbqbe4oyAL
l6lFhd2zi+WJN44pDfwGF/Y4QA5C5BIG+3vzxhFoYt/jmPQT2BVPi7Fp2RBgvGQq
6jG35LWjOhSbJuMLe/0CjraZwTiXWTb2qHSihrZe68Zk6s+go/lunrotEbaGmAhY
LcmsJWTyXnW0OMGuf1pGg+pRyrbxmRE1a6Vqe8YAsOf4vmSyrcjC8azjUeqkk+B5
yOGBQMkKW+ESPMFgKuOXwIlCypTPRpgSabuY0MLTDXJLR27lk8QyKGOHQ+SwMj4K
00u/I5sUKUErmgQfky3xxzlIPK1aEn8=
-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Ĉeno por atestiloj bazita sur ŝlosila algoritmo ECC. Simile kun la ĉeno por RSA, nur la pli malalta atestilo estis anstataŭigita, dum la supra restis la sama (ĉikaze fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----
MIIDqDCCAy6gAwIBAgIRAPNkTmtuAFAjfglGvXvh9R0wCgYIKoZIzj0EAwMwgYgx
CzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5MRQwEgYDVQQHEwtKZXJz
ZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBOZXR3b3JrMS4wLAYDVQQD
EyVVU0VSVHJ1c3QgRUNDIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MB4XDTE4MTEw
MjAwMDAwMFoXDTMwMTIzMTIzNTk1OVowgY8xCzAJBgNVBAYTAkdCMRswGQYDVQQI
ExJHcmVhdGVyIE1hbmNoZXN0ZXIxEDAOBgNVBAcTB1NhbGZvcmQxGDAWBgNVBAoT
D1NlY3RpZ28gTGltaXRlZDE3MDUGA1UEAxMuU2VjdGlnbyBFQ0MgRG9tYWluIFZh
bGlkYXRpb24gU2VjdXJlIFNlcnZlciBDQTBZMBMGByqGSM49AgEGCCqGSM49AwEH
A0IABHkYk8qfbZ5sVwAjBTcLXw9YWsTef1Wj6R7W2SUKiKAgSh16TwUwimNJE4xk
IQeV/To14UrOkPAY9z2vaKb71EijggFuMIIBajAfBgNVHSMEGDAWgBQ64QmG1M8Z
wpZ2dEl23OA1xmNjmjAdBgNVHQ4EFgQU9oUKOxGG4QR9DqoLLNLuzGR7e64wDgYD
VR0PAQH/BAQDAgGGMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYDVR0lBBYwFAYIKwYB
BQUHAwEGCCsGAQUFBwMCMBsGA1UdIAQUMBIwBgYEVR0gADAIBgZngQwBAgEwUAYD
VR0fBEkwRzBFoEOgQYY/aHR0cDovL2NybC51c2VydHJ1c3QuY29tL1VTRVJUcnVz
dEVDQ0NlcnRpZmljYXRpb25BdXRob3JpdHkuY3JsMHYGCCsGAQUFBwEBBGowaDA/
BggrBgEFBQcwAoYzaHR0cDovL2NydC51c2VydHJ1c3QuY29tL1VTRVJUcnVzdEVD
Q0FkZFRydXN0Q0EuY3J0MCUGCCsGAQUFBzABhhlodHRwOi8vb2NzcC51c2VydHJ1
c3QuY29tMAoGCCqGSM49BAMDA2gAMGUCMEvnx3FcsVwJbZpCYF9z6fDWJtS1UVRs
cS0chWBNKPFNpvDKdrdKRe+oAkr2jU+ubgIxAODheSr2XhcA7oz9HmedGdMhlrd9
4ToKFbZl+/OnFFzqnvOhcjHvClECEQcKmc8fmA==
-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Tio estas preskaŭ. Dankon pro via atento.
fonto: www.habr.com