Maiatzaren 30ean, erro-ziurtagiriaren 20 urteko balio-epea iraungi zen Zein Sectigo (Comodo) ziurtapen-agintari handienetako baten gurutze-sinatutako ziurtagiriak sortzeko. Sinadura gurutzatuak erro ziurtagirien biltegian USERTRust erro-ziurtagiri berria gehitzen ez zuten gailu zaharrekin bateragarritasuna ahalbidetzen zuen.
Teorian, AddTrust erro-ziurtagiria amaitzeak lehengo sistemekin bateragarritasuna urratzea baino ez luke ekarri beharko (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, etab.), sinadura gurutzatuan erabilitako bigarren erro-ziurtagiria geratzen baita. nabigatzaile baliozko eta modernoek kontuan hartzen dute konfiantza-katea egiaztatzean. Praktikan Arakatzaile ez diren TLS bezeroetan sinadura gurutzatua egiaztatzeko arazoak, OpenSSL 1.0.x eta GnuTLS-en oinarritutakoak barne. Jada ez da konexio seguru bat ezartzen ziurtagiria zaharkituta dagoela adierazten duen errore batekin zerbitzariak Sectigo ziurtagiri bat erabiltzen ari bada konfiantzazko kate batek AddTrust erro ziurtagiriarekin lotuta.
Arakatzaile modernoen erabiltzaileek AddTrust erro ziurtagiriaren zaharkitzerik nabaritu ez bazuten sinadura gurutzatutako Sectigo ziurtagiriak prozesatzen zituztenean, orduan arazoak sortzen hasi ziren hirugarrenen aplikazio eta zerbitzariaren kudeatzaileetan, eta horrek eragin zuen. osagaien arteko elkarrekintzarako enkriptatutako komunikazio kanalak erabiltzen dituzten azpiegitura asko.
Esaterako, bazeuden Debian eta Ubuntu-n pakete-biltegi batzuetarako sarbidearekin (apt ziurtagiria egiaztatzeko errorea sortzen hasi zen), "curl" eta "wget" utilitateak erabiltzen zituzten scripten eskaerak huts egiten hasi ziren, erroreak ikusi ziren Git erabiltzean, Roku streaming plataforma funtzionatzen ari da, kudeatzaileak jada ez dira deitzen ΠΈ , hasi zen Heroku aplikazioetan, OpenLDAP bezeroak konektatzen dira, STARTTLS duten SMTPS eta SMTP zerbitzarietara mezuak bidaltzeko arazoak hautematen dira. Horrez gain, http bezero batekin modulu bat erabiltzen duten Ruby, PHP eta Python hainbat scriptetan arazoak ikusten dira. Arakatzailearen arazoa Epiphany, iragarkiak blokeatzeko zerrendak kargatzeari utzi zion.
Go programek ez dute arazo honek eragiten, Go-k eskaintzen duelako TLS.
arazoak banaketa zaharragoen bertsioei eragiten diela (Debian 9, Ubuntu 16.04, ) OpenSSL adar problematikoak erabiltzen dituztenak, baina arazoa halaber, APT pakete-kudeatzailea Debian 10 eta Ubuntu 18.04/20.04 uneko bertsioetan exekutatzen ari denean, APT-k GnuTLS liburutegia erabiltzen baitu. Arazoaren muina da TLS/SSL liburutegi askok ziurtagiri bat kate lineal gisa analizatzen dutela, RFC 4158-ren arabera, berriz, ziurtagiri batek kontuan hartu beharreko konfiantzazko aingura anitzak dituen grafiko zirkular banatu eta zuzendua irudika dezake. OpenSSL eta GnuTLS-en akats honi buruz . OpenSSL-n arazoa 1.1.1 adarrean konpondu zen, eta hondarrak .
Konponbide gisa, "AddTrust External CA Root" ziurtagiria kentzea gomendatzen da sistemaren biltegitik (adibidez, kendu /etc/ca-certificates.conf eta /etc/ssl/certs-etatik, eta gero exekutatu "update-ca". -certificates -f -v"), eta ondoren OpenSSL normalean sinatutako ziurtagiriak prozesatzen hasten da bere parte-hartzearekin. APT pakete-kudeatzailea erabiltzean, ziurtagirien egiaztapena desgai dezakezu zure ardurapean (adibidez, "apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false"). .
Arazoa blokeatzeko ΠΈ AddTrust ziurtagiria zerrenda beltzean gehitzea proposatzen da:
trust dump βfilter Β«pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=certΒ» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
update-ca-trust extract
Baina metodo hau GnuTLS-rako (adibidez, ziurtagiriaren egiaztapen-errore bat agertzen jarraitzen da wget utilitatea exekutatzen denean).
Zerbitzariaren aldean dezakezu zerbitzariak bezeroari bidalitako konfiantza-katean ziurtagiriak zerrendatuz ("AddTrust External CA Root"-ri lotutako ziurtagiria zerrendatik kentzen bada, orduan bezeroaren egiaztapena arrakastatsua izango da). Konfiantza-kate berri bat egiaztatzeko eta sortzeko, zerbitzua erabil dezakezu . Sectigo ere sinadura gurutzatuaren bitarteko ziurtagiri alternatiboa "β, 2028ra arte balioko duena eta sistema eragilearen bertsio zaharragoekin bateragarritasuna mantenduko duena.
Gehigarria: arazoa ere LibreSSLn.
Iturria: opennet.ru