Op sneon 30 maaie 2020 ûntstie in net direkt dúdlik probleem mei populêre SSL / TLS-sertifikaten fan 'e ferkeaper Sectigo (eardere Comodo). De sertifikaten sels bleaunen yn perfekte oarder, lykwols, ien fan 'e tuskenlizzende CA-sertifikaten yn' e keatlingen wêrmei't dizze sertifikaten waarden levere, gie rot. De situaasje is net te sizzen dat fataal, mar onaangenaam: de hjoeddeistige ferzjes fan browsers hawwe neat opmurken, lykwols, de measte automatisaasjes en âlde browsers / OS wiene net klear foar sa'n beurt.
Habr wie gjin útsûndering, dêrom is dit edukative programma / postmortem skreaun.
TL; DR Oplossing oan 'e ein.
Litte wy de basisteory oer PKI, SSL / TLS, https en mear oerslaan. De meganika fan autentikaasje mei in domeinfeiligenssertifikaat is om in keatling fan in oantal sertifikaten te bouwen oan ien fan 'e fertroude troch de browser of bestjoeringssysteem, dy't opslein wurde yn' e saneamde Trust Store. Dizze list wurdt ferspraat mei it bestjoeringssysteem, koade runtime ekosysteem, of browser. Alle sertifikaten hawwe in ferfaldatum wêrnei't se wurde beskôge as net fertroud, ynklusyf sertifikaten yn 'e trustwinkel. Hoe seach de ketting fan fertrouwen der út foar de needlottige dei? In webhulpprogramma sil ús helpe it út te finen út Qualys.
Dat, ien fan 'e populêrste "kommersjele" sertifikaten is Sectigo Positive SSL (earder Comodo Positive SSL, sertifikaten mei dizze namme binne noch yn gebrûk), it is it saneamde DV-sertifikaat. DV is it meast primitive nivo fan sertifisearring, wat betsjut ferifikaasje fan tagong ta domeinbehear troch de útjouwer fan sa'n sertifikaat. Eigentlik stiet DV foar "domeinvalidaasje". Foar referinsje: d'r is ek OV (organisaasjevalidaasje) en EV (útwreide falidaasje), en in fergese sertifikaat fan Let's Encrypt is ek DV. Foar dyjingen dy't om ien of oare reden net tefreden binne mei it ACME-meganisme, is it Positive SSL-produkt it meast geskikt yn termen fan priis / funksjes (in sertifikaat mei ien domein kostet sawat 5-7 dollar yn 't jier mei in totale sertifikaatjildigensperioade fan oant oant 2 jier en 3 moannen).
It Sectigo DV Generic Certificate (RSA) kaam oant koartlyn mei dizze keatling fan tuskenlizzende CA's:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityD'r is gjin "tredde sertifikaat", sels ûndertekene fan AddTrust AB, om't it op in stuit yn 'e tiid waard beskôge as minne manieren om sels-ûndertekene root-sertifikaten yn keatlingen op te nimmen. Tink derom dat de tuskenlizzende CA útjûn troch AddTrust's UserTrust in ferfaldatum hat fan 30 maaie 2020. Dit is net maklik, om't in ûntmantelingsproseduere pland wie foar dizze CA. It waard leaud dat op 30 maaie 2020 in krús-ûndertekene sertifikaat fan UserTrust tsjin dizze tiid yn alle trustwinkels soe ferskine (ûnder de motorkap, dit is itselde sertifikaat, of leaver in iepenbiere kaai) en de ketting, sels mei de al net-fertroude sertifikaat opnommen, sil alternative paden bouwe en gjinien sil fernimme. De plannen kamen lykwols yn 'e realiteit, nammentlik de lange term "legacy systemen". Yndied hawwe de eigners fan hjoeddeistige ferzjes fan browsers neat opmurken, lykwols, de berch fan automatisearring boud op curl- en ssl / tls-biblioteken fan in oantal programmeartalen en omjouwings foar útfiering fan koade bruts. It moat begrepen wurde dat in protte produkten net liede troch de kettingbou-ark dy't yn it OS binne ynboud, mar har fertrouwenwinkel mei har "drage". En se befetsje net altyd wat se graach sjen wolle. . En yn Linux wurde pakketten lykas ca-sertifikaten net altyd bywurke. Op it lêst liket alles yn oarder te wêzen, mar wat wurket hjir en dêr net.
Ut figuer 1, it is dúdlik dat hoewol't alles seach normaal foar de grutte mearderheid, wat bruts foar immen en it ferkear dipped merkber (lofts reade line), dan groeide as ien fan de kaai sertifikaten waard ferfongen (rjochter line). Der kamen barsten yn 'e midden, as oare sertifikaten feroare waarden, dêr't ek wat fan ôfhinge. Om't foar de mearderheid alles fisueel min of mear geregeld bleau te wurkjen (útsein frjemde glitches lykas de ûnmooglikheid fan it laden fan foto's op Habrastorage), kinne wy in yndirekte konklúzje meitsje oer it oantal legacy kliïnten en bots op Habré.
figuer 1. Grafyk fan "ferkear" op Habré.
Figure 2 lit sjen hoe't in "alternatyf" keten wurdt boud yn aktuele ferzjes fan browsers nei in fertroude CA sertifikaat yn de brûker syn blêder, sels as der in "rotte" sertifikaat yn 'e keten. Dit, lykas Sectigo sels leaude, is de reden om neat te dwaan.
figuer 2. Ketting nei in fertroude sertifikaat foar in moderne browser ferzje.
Mar yn figuer 3 kinne jo sjen hoe't alles der echt útsjocht as der wat mis gie en wy in legacy-systeem hawwe. Yn dit gefal is de HTTPS-ferbining net fêststeld en sjogge wy in flater lykas "sertifikaatvalidaasje mislearre" of ferlykber.
Figuer 3. De keatling waard ûnjildich omdat it root-sertifikaat en de dêrmei ûndertekene tuskentiid "rot" wiene.
Yn figuer 4 sjogge wy al in "oplossing" foar legacy-systemen: d'r is in oar intermediate sertifikaat, of leaver in "cross-signature" fan in oare CA, dy't normaal foarôf ynstalleare is yn legacy-systemen. Dit is wat jo moatte dwaan: fyn dit sertifikaat (dat is markearre as Extra download) en ferfange de "rotte" dermei.
figuer 4. Alternative keten foar legacy systemen.
Troch de wei: it probleem hie gjin brede publisiteit en in soarte fan publike diskusje, ynklusyf troch de oermjittige arrogânsje fan Sectigo. Hjir is bygelyks de miening fan ien fan 'e sertifikaatproviders yn foar dizze situaasje:
Earder se [Sectigo] fersekere elkenien dat gjin problemen sille wêze. De realiteit is lykwols dat guon legacy servers / apparaten wurde beynfloede.
Dat is in bespotlike situaasje. Wy wiisden har oandacht op it ferrinnende AddTrust RSA / ECC meardere kearen binnen in jier en elke kear fersekerde Sectigo ús dat gjin problemen sille wêze.
Ik persoanlik frege op Stack Overflow oer dit in moanne lyn, mar blykber, it publyk fan it projekt is net hiel geskikt foar sokke fragen, dus ik moast it sels antwurdzje nei de analyze.
Sectigo D'r is in FAQ oer dit ûnderwerp, mar it is sa ûnlêsber en lang dat it ûnmooglik is om it te brûken. Hjir is in sitaat dat de essinsje is fan 'e heule publikaasje:
Wat jo moatte dwaan
Foar de measte gebrûksgefallen, ynklusyf sertifikaten dy't moderne client- of serversystemen betsjinje, is gjin aksje nedich, of jo sertifikaten hawwe útjûn dy't krúskeatling binne oan 'e AddTrust-root.Fan 30 april 2020 ôf: Foar saaklike prosessen dy't ôfhinklik binne fan hiel âlde systemen, Sectigo hat beskikber steld (standert yn 'e sertifikaat bondels) in nije legacy root foar cross-ûndertekening, de root "AAA Certificate Services". Wês lykwols ekstreem foarsichtich oer elk proses dat hinget fan heul âlde legacy-systemen. Systemen dy't net de fernijings hawwe krigen dy't nedich binne om nijere woartels te stypjen, lykas Sectigo's COMODO-root, sille ûnûntkomber oare essensjele feiligensupdates misse en moatte wurde beskôge as ûnfeilich. As jo noch graach krústeken wolle nei de root fan AAA Certificate Services, nim dan direkt kontakt op mei Sectigo.
Ik hâld fansels echt fan it "hiel âlde" proefskrift. Bygelyks, krul yn 'e konsole fan Ubuntu Linux 18.04 LTS (ús basis OS op it stuit) mei de lêste updates net âlder dan in moanne, it is lestich om heul âld te neamen, mar it wurket net.
De measte sertifikaatdistributeurs publisearren har beslútnotysjes yn 'e lette middei fan 30 maaie. Bygelyks, hiel geskikt yn technyske termen út (mei in spesifike beskriuwing fan wat te dwaan en mei klearmakke CA-bundels yn zip-argiven, mar allinich RSA):
figuer 5. Sân stappen te reparearjen dingen fluch.
der binne fan Redhat, mar d'r is mear en mear Legacy en jo moatte in noch mear root-legacy-sertifikaat fan Comodo ynstallearje foar alles om te wurkjen.
beslút
It is de muoite wurdich om de oplossing hjir ek te duplikearjen. Hjirûnder binne twa sets keatlingen foar sertifikaten DV Sectigo (net Comodo!), ien foar de bekende RSA-sertifikaten, de oare foar de minder bekende ECC (ECDSA)-sertifikaten (wy hawwe in lange tiid twa keatlingen brûkt). Mei ECC wie it dreger, om't de measte oplossingen gjin rekken hâlde mei de oanwêzigens fan sokke sertifikaten fanwegen har lege prevalens. Dêrtroch waard it fereaske tuskensertifikaat fûn op .
Ketting foar sertifikaten basearre op kaaialgoritme RSA. Fergelykje mei jo keatling en tink derom dat allinich it legere sertifikaat is ferfongen, wylst it boppeste itselde is bleaun. Ik ûnderskied se thús troch de lêste trije karakters fan base64-blokken, net telle it "lykweardige" karakter (yn dit gefal En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----
MIIFgTCCBGmgAwIBAgIQOXJEOvkit1HX02wQ3TE1lTANBgkqhkiG9w0BAQwFADB7
MQswCQYDVQQGEwJHQjEbMBkGA1UECAwSR3JlYXRlciBNYW5jaGVzdGVyMRAwDgYD
VQQHDAdTYWxmb3JkMRowGAYDVQQKDBFDb21vZG8gQ0EgTGltaXRlZDEhMB8GA1UE
AwwYQUFBIENlcnRpZmljYXRlIFNlcnZpY2VzMB4XDTE5MDMxMjAwMDAwMFoXDTI4
MTIzMTIzNTk1OVowgYgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5
MRQwEgYDVQQHEwtKZXJzZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBO
ZXR3b3JrMS4wLAYDVQQDEyVVU0VSVHJ1c3QgUlNBIENlcnRpZmljYXRpb24gQXV0
aG9yaXR5MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAgBJlFzYOw9sI
s9CsVw127c0n00ytUINh4qogTQktZAnczomfzD2p7PbPwdzx07HWezcoEStH2jnG
vDoZtF+mvX2do2NCtnbyqTsrkfjib9DsFiCQCT7i6HTJGLSR1GJk23+jBvGIGGqQ
Ijy8/hPwhxR79uQfjtTkUcYRZ0YIUcuGFFQ/vDP+fmyc/xadGL1RjjWmp2bIcmfb
IWax1Jt4A8BQOujM8Ny8nkz+rwWWNR9XWrf/zvk9tyy29lTdyOcSOk2uTIq3XJq0
tyA9yn8iNK5+O2hmAUTnAU5GU5szYPeUvlM3kHND8zLDU+/bqv50TmnHa4xgk97E
xwzf4TKuzJM7UXiVZ4vuPVb+DNBpDxsP8yUmazNt925H+nND5X4OpWaxKXwyhGNV
icQNwZNUMBkTrNN9N6frXTpsNVzbQdcS2qlJC9/YgIoJk2KOtWbPJYjNhLixP6Q5
D9kCnusSTJV882sFqV4Wg8y4Z+LoE53MW4LTTLPtW//e5XOsIzstAL81VXQJSdhJ
WBp/kjbmUZIO8yZ9HE0XvMnsQybQv0FfQKlERPSZ51eHnlAfV1SoPv10Yy+xUGUJ
5lhCLkMaTLTwJUdZ+gQek9QmRkpQgbLevni3/GcV4clXhB4PY9bpYrrWX1Uu6lzG
KAgEJTm4Diup8kyXHAc/DVL17e8vgg8CAwEAAaOB8jCB7zAfBgNVHSMEGDAWgBSg
EQojPpbxB+zirynvgqV/0DCktDAdBgNVHQ4EFgQUU3m/WqorSs9UgOHYm8Cd8rID
ZsswDgYDVR0PAQH/BAQDAgGGMA8GA1UdEwEB/wQFMAMBAf8wEQYDVR0gBAowCDAG
BgRVHSAAMEMGA1UdHwQ8MDowOKA2oDSGMmh0dHA6Ly9jcmwuY29tb2RvY2EuY29t
L0FBQUNlcnRpZmljYXRlU2VydmljZXMuY3JsMDQGCCsGAQUFBwEBBCgwJjAkBggr
BgEFBQcwAYYYaHR0cDovL29jc3AuY29tb2RvY2EuY29tMA0GCSqGSIb3DQEBDAUA
A4IBAQAYh1HcdCE9nIrgJ7cz0C7M7PDmy14R3iJvm3WOnnL+5Nb+qh+cli3vA0p+
rvSNb3I8QzvAP+u431yqqcau8vzY7qN7Q/aGNnwU4M309z/+3ri0ivCRlv79Q2R+
/czSAaF9ffgZGclCKxO/WIu6pKJmBHaIkU4MiRTOok3JMrO66BQavHHxW/BBC5gA
CiIDEOUMsfnNkjcZ7Tvx5Dq2+UUTJnWvu6rvP3t3O9LEApE9GQDTF1w52z97GA1F
zZOFli9d31kWTz9RvdVFGD/tSo7oBmF0Ixa1DVBzJ0RHfxBdiSprhTEUxOipakyA
vGp4z7h/jnZymQyd/teRCBaho1+V
-----END CERTIFICATE-----Ketting foar sertifikaten basearre op kaaialgoritme ECC. Lykas mei de ketting foar RSA waard allinich it legere sertifikaat ferfongen, wylst it boppeste itselde bleau (yn dit gefal fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Dat is it moai. Tank foar jo oandacht.
Boarne: www.habr.com