در روز شنبه 30 مه 2020، یک مشکل کاملاً واضح در مورد گواهینامه های محبوب SSL / TLS از فروشنده Sectigo (کومودو سابق) ایجاد شد. خود گواهیها همچنان در نظم کامل بودند، با این حال، یکی از گواهیهای CA میانی در زنجیرهای که این گواهیها با آن عرضه میشد، پوسیده شد. وضعیت اینطور نیست که بگوییم کشنده، بلکه ناخوشایند است: نسخه های فعلی مرورگرها متوجه چیزی نشدند، با این حال، اکثر اتوماسیون ها و مرورگرها / سیستم عامل های قدیمی برای چنین چرخشی آماده نبودند.
حبر نیز از این قاعده مستثنی نبود، به همین دلیل این برنامه آموزشی / پس از مرگ نوشته شد.
TL؛ DR راه حل در نهایت.
بیایید از نظریه اولیه در مورد PKI، SSL / TLS، https و موارد دیگر بگذریم. مکانیزم احراز هویت با گواهی امنیتی دامنه، ساختن زنجیره ای از تعدادی گواهی به یکی از گواهی های مورد اعتماد مرورگر یا سیستم عامل است که در اصطلاح به فروشگاه Trust ذخیره می شوند. این لیست با سیستم عامل، اکوسیستم زمان اجرای کد یا مرورگر توزیع می شود. هر گواهینامه دارای یک تاریخ انقضا است که پس از آن غیرقابل اعتماد تلقی می شود، از جمله گواهی های موجود در فروشگاه اعتماد. زنجیر اعتماد قبل از روز سرنوشت ساز چگونه بود؟ یک ابزار وب به ما کمک می کند تا آن را بفهمیم
بنابراین، یکی از محبوب ترین گواهینامه های "تجاری" Sectigo Positive SSL (که قبلا Comodo Positive SSL بود، گواهینامه هایی با این نام هنوز در حال استفاده هستند)، به اصطلاح DV-certificate است. DV ابتدایی ترین سطح گواهی است، به معنای تأیید دسترسی به مدیریت دامنه توسط صادر کننده چنین گواهینامه ای. در واقع، DV مخفف " اعتبار سنجی دامنه " است. برای مرجع: همچنین OV (تأیید اعتبار سازمان) و EV (اعتبارسنجی گسترده) وجود دارد و یک گواهی رایگان از Let's Encrypt نیز DV است. برای کسانی که به دلایلی از مکانیسم ACME راضی نیستند، محصول Positive SSL از نظر قیمت / ویژگی ها مناسب ترین است (یک گواهینامه تک دامنه حدود 5-7 دلار در سال هزینه دارد با دوره اعتبار گواهینامه تا بالاتر. تا 2 سال و 3 ماه).
گواهینامه عمومی Sectigo DV (RSA) تا همین اواخر با این زنجیره از CAهای متوسط ارائه می شد:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
هیچ «گواهی سومی» که توسط AddTrust AB امضا شده باشد وجود ندارد، زیرا در برههای از زمان، گنجاندن گواهیهای ریشهای خودامضا در زنجیرهها، رفتار بدی در نظر گرفته شد. توجه داشته باشید که CA واسطه صادر شده توسط UserTrust AddTrust دارای تاریخ انقضا 30 می 2020 است. این کار آسانی نیست، زیرا یک روش از کار انداختن برای این CA برنامه ریزی شده بود. اعتقاد بر این بود که تا 30 می 2020، یک گواهی متقاطع از UserTrust تا این زمان در تمام فروشگاه های اعتماد ظاهر می شود (زیر هود، این همان گواهی است، یا بهتر است بگوییم یک کلید عمومی) و زنجیره، حتی با گواهی از قبل نامعتبر گنجانده شده است، مسیرهای جایگزینی برای ساخت دارد و هیچ کس متوجه نخواهد شد. با این حال، این برنامه ها به واقعیت تبدیل شدند، یعنی اصطلاح طولانی "سیستم های میراث". در واقع، صاحبان نسخه های فعلی مرورگرها متوجه چیزی نشدند، با این حال، کوه اتوماسیون ساخته شده بر روی کتابخانه های curl و ssl / tls تعدادی از زبان های برنامه نویسی و محیط های اجرای کد شکست. باید درک کرد که بسیاری از محصولات توسط ابزارهای زنجیره ای ساخته شده در سیستم عامل هدایت نمی شوند، بلکه فروشگاه اعتماد خود را با خود "حمل می کنند". و همیشه حاوی چیزی نیستند که دوست دارند ببینند.
از شکل 1، واضح است که اگرچه همه چیز برای اکثریت قریب به اتفاق عادی به نظر می رسید، چیزی برای کسی شکست و ترافیک به طور محسوسی کاهش یافت (خط قرمز سمت چپ)، سپس با جایگزینی یکی از گواهینامه های کلیدی (خط سمت راست) افزایش یافت. زمانی که گواهیهای دیگر تغییر میکردند، انفجارهایی در وسط رخ میداد که چیزی به آن بستگی داشت. از آنجایی که برای اکثریت همه چیز از لحاظ بصری کم و بیش به طور منظم به کار خود ادامه میدهد (به استثنای اشکالات عجیبی مانند عدم امکان بارگیری تصاویر در Habrastorage)، میتوانیم نتیجهگیری غیرمستقیم در مورد تعداد مشتریان قدیمی و رباتها در Habré داشته باشیم.
شکل 1. نمودار "ترافیک" در هابره.
شکل 2 نشان می دهد که چگونه یک زنجیره "جایگزین" در نسخه های فعلی مرورگرها برای گواهی CA قابل اعتماد در مرورگر کاربر ساخته می شود، حتی اگر یک گواهی "پاسیده" در زنجیره وجود داشته باشد. همانطور که خود سکتیگو معتقد بود این دلیل اصلی برای انجام ندادن هیچ کاری است.
شکل 2. به یک گواهی قابل اعتماد برای یک نسخه مرورگر مدرن زنجیره بزنید.
اما در شکل 3، میتوانید ببینید که وقتی مشکلی پیش آمد و ما یک سیستم قدیمی داریم، همه چیز واقعاً چگونه به نظر میرسد. در این حالت، اتصال HTTPS برقرار نمی شود و با خطای «تأیید اعتبار گواهی ناموفق» یا مشابه آن مواجه می شویم.
شکل 3. زنجیره باطل شد زیرا گواهی ریشه و واسطه امضا شده توسط آن "فاسد" بود.
در شکل 4، ما قبلاً یک "راه حل" برای سیستم های قدیمی می بینیم: یک گواهی میانی دیگر، یا بهتر است بگوییم یک "امضای متقاطع" از یک CA دیگر وجود دارد که معمولاً در سیستم های قدیمی از قبل نصب شده است. این کاری است که باید انجام دهید: این گواهی را پیدا کنید (که به عنوان دانلود اضافی مشخص شده است) و گواهی "فاسد" را با آن جایگزین کنید.
شکل 4. زنجیره جایگزین برای سیستم های قدیمی.
ضمناً: مشکل تبلیغات گسترده و نوعی بحث عمومی از جمله به دلیل گستاخی بیش از حد سکتیگو نداشت. به عنوان مثال، در اینجا نظر یکی از ارائه دهندگان گواهی در
قبلا آنها [Sectigo] به همه اطمینان داد که هیچ مشکلی وجود نخواهد داشت. با این حال، واقعیت این است که برخی از سرورها/دستگاه های قدیمی تحت تأثیر قرار می گیرند.
این یک وضعیت مضحک است. ما توجه آنها را به AddTrust RSA/ECC در حال انقضا چندین بار در یک سال متذکر شدیم و هر بار که Sectigo به ما اطمینان داد هیچ مشکلی وجود نخواهد داشت.
من شخصا پرسیدم
فرقه ای
آنچه شما باید انجام دهید
برای بیشتر موارد استفاده، از جمله گواهیهایی که به سیستمهای سرویس گیرنده یا سرور مدرن سرویس میدهند، هیچ اقدامی لازم نیست، چه گواهیهایی را بهصورت زنجیرهای به ریشه AddTrust صادر کرده باشید یا نه.از 30 آوریل 2020: برای فرآیندهای تجاری که به سیستمهای بسیار قدیمی وابسته هستند، Sectigo یک ریشه قدیمی جدید را برای امضای متقاطع (بهطور پیشفرض در بستههای گواهی) در دسترس قرار داده است، ریشه «خدمات گواهی AAA». با این حال، لطفاً در مورد هر فرآیندی که به سیستم های قدیمی بسیار قدیمی بستگی دارد، بسیار احتیاط کنید. سیستمهایی که بهروزرسانیهای لازم برای پشتیبانی از ریشههای جدیدتر مانند ریشه COMODO Sectigo را دریافت نکردهاند، ناگزیر دیگر بهروزرسانیهای امنیتی ضروری را از دست خواهند داد و باید ناامن در نظر گرفته شوند. اگر همچنان میخواهید به ریشه خدمات گواهی AAA علامت بزنید، لطفاً مستقیماً با Sectigo تماس بگیرید.
من واقعاً تز "بسیار قدیمی" را دوست دارم، البته. به عنوان مثال، در کنسول اوبونتو لینوکس 18.04 LTS (سیستم عامل پایه ما در حال حاضر) با آخرین بهروزرسانیهایی که بیش از یک ماه قدمت ندارند، به سختی میتوان آن را خیلی قدیمی خواند، اما کار نمیکند.
اکثر توزیع کنندگان گواهینامه یادداشت های تصمیم خود را در اواخر بعد از ظهر 30 مه منتشر کردند. مثلا از نظر فنی بسیار مناسب از
شکل 5. هفت مرحله برای رفع سریع مسائل.
وجود دارد
تصمیم
ارزش دارد راه حل را در اینجا نیز تکرار کنید. در زیر دو مجموعه زنجیره برای گواهینامه وجود دارد DV Sectigo (نه Comodo!)، یکی برای گواهینامه های آشنای RSA، دیگری برای گواهینامه های کمتر آشنا ECC (ECDSA) (ما برای مدت طولانی از دو زنجیره استفاده می کنیم). با ECC، دشوارتر بود، زیرا اکثر راه حل ها وجود چنین گواهی هایی را به دلیل شیوع کم آنها در نظر نمی گیرند. در نتیجه، گواهی میانی مورد نیاز در پیدا شد
زنجیره ای برای گواهی ها بر اساس الگوریتم کلید RSA. با زنجیر خود مقایسه کنید و توجه داشته باشید که فقط گواهی پایینی تعویض شده است در حالی که گواهی بالایی ثابت مانده است. من آنها را در خانه با سه کاراکتر آخر بلوک های base64 متمایز می کنم، بدون احتساب کاراکتر "برابر" (در این مورد En8=
и 1+V
):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
زنجیره ای برای گواهی ها بر اساس الگوریتم کلید ECC. به طور مشابه با زنجیره RSA، فقط گواهی پایینی جایگزین شد، در حالی که گواهی بالایی ثابت باقی ماند (در این مورد fmA==
и v/c=
):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----
MIIDqDCCAy6gAwIBAgIRAPNkTmtuAFAjfglGvXvh9R0wCgYIKoZIzj0EAwMwgYgx
CzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5MRQwEgYDVQQHEwtKZXJz
ZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBOZXR3b3JrMS4wLAYDVQQD
EyVVU0VSVHJ1c3QgRUNDIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MB4XDTE4MTEw
MjAwMDAwMFoXDTMwMTIzMTIzNTk1OVowgY8xCzAJBgNVBAYTAkdCMRswGQYDVQQI
ExJHcmVhdGVyIE1hbmNoZXN0ZXIxEDAOBgNVBAcTB1NhbGZvcmQxGDAWBgNVBAoT
D1NlY3RpZ28gTGltaXRlZDE3MDUGA1UEAxMuU2VjdGlnbyBFQ0MgRG9tYWluIFZh
bGlkYXRpb24gU2VjdXJlIFNlcnZlciBDQTBZMBMGByqGSM49AgEGCCqGSM49AwEH
A0IABHkYk8qfbZ5sVwAjBTcLXw9YWsTef1Wj6R7W2SUKiKAgSh16TwUwimNJE4xk
IQeV/To14UrOkPAY9z2vaKb71EijggFuMIIBajAfBgNVHSMEGDAWgBQ64QmG1M8Z
wpZ2dEl23OA1xmNjmjAdBgNVHQ4EFgQU9oUKOxGG4QR9DqoLLNLuzGR7e64wDgYD
VR0PAQH/BAQDAgGGMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYDVR0lBBYwFAYIKwYB
BQUHAwEGCCsGAQUFBwMCMBsGA1UdIAQUMBIwBgYEVR0gADAIBgZngQwBAgEwUAYD
VR0fBEkwRzBFoEOgQYY/aHR0cDovL2NybC51c2VydHJ1c3QuY29tL1VTRVJUcnVz
dEVDQ0NlcnRpZmljYXRpb25BdXRob3JpdHkuY3JsMHYGCCsGAQUFBwEBBGowaDA/
BggrBgEFBQcwAoYzaHR0cDovL2NydC51c2VydHJ1c3QuY29tL1VTRVJUcnVzdEVD
Q0FkZFRydXN0Q0EuY3J0MCUGCCsGAQUFBzABhhlodHRwOi8vb2NzcC51c2VydHJ1
c3QuY29tMAoGCCqGSM49BAMDA2gAMGUCMEvnx3FcsVwJbZpCYF9z6fDWJtS1UVRs
cS0chWBNKPFNpvDKdrdKRe+oAkr2jU+ubgIxAODheSr2XhcA7oz9HmedGdMhlrd9
4ToKFbZl+/OnFFzqnvOhcjHvClECEQcKmc8fmA==
-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
تقریباً همین است. با تشکر از توجه شما.
منبع: www.habr.com