Air 30 Cèitean, thàinig ùine dligheachd 20-bliadhna an teisteanais freumh gu crìch , a tha gus teisteanasan tar-shoidhnichte a ghineadh bho aon de na h-ùghdarrasan teisteanais as motha Sectigo (Comodo). Bha tar-soidhnigeadh a’ ceadachadh co-chòrdalachd le innealan dìleab aig nach robh an teisteanas freumh USERTRust ùr air a chur ris a’ bhùth teisteanasan freumha aca.
Gu teòiridheach, cha bu chòir crìoch a chuir air teisteanas freumh AddTrust ach leantainn gu briseadh co-chòrdalachd le siostaman dìleab (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, msaa), leis gu bheil an dàrna teisteanas freumha a chaidh a chleachdadh san tar-ainm-sgrìobhte fhathast Bidh brobhsairean dligheach agus ùr-nodha ga thoirt fa-near nuair a bhios iad a’ sgrùdadh an t-sreath earbsa. Air cleachdadh Duilgheadasan le dearbhadh tar-ainm-sgrìobhte ann an teachdaichean TLS nach eil sa bhrobhsair, a’ toirt a-steach an fheadhainn stèidhichte air OpenSSL 1.0.x agus GnuTLS. Chan eil ceangal tèarainte air a stèidheachadh tuilleadh le mearachd a’ nochdadh gu bheil an teisteanas seann-fhasanta ma tha am frithealaiche a’ cleachdadh teisteanas Sectigo ceangailte le sèine earbsa ri teisteanas freumh AddTrust.
Mura do mhothaich luchd-cleachdaidh brobhsairean an latha an-diugh mar a chaidh teisteanas freumh AddTrust a dhol à bith nuair a bha iad a’ giullachd theisteanasan Sectigo tar-soidhnichte, thòisich duilgheadasan a’ nochdadh ann an grunn thagraidhean treas-phàrtaidh agus luchd-làimhseachaidh taobh frithealaiche, a lean gu mòran de bhun-structaran a bhios a’ cleachdadh seanalan conaltraidh crioptaichte airson eadar-obrachadh eadar co-phàirtean.
Mar eisimpleir, bha le ruigsinneachd air cuid de stòran pacaid ann an Debian agus Ubuntu (thòisich iomchaidh a’ gineadh mearachd dearbhaidh teisteanais), thòisich iarrtasan bho sgriobtaichean a’ cleachdadh na goireasan “curl” agus “wget” a’ fàiligeadh, chaidh mearachdan fhaicinn nuair a bha iad a’ cleachdadh Git, Tha àrd-ùrlar sruthadh Roku ag obair, chan eilear a’ gairm luchd-làimhseachaidh и , thòisich ann an aplacaidean Heroku, Bidh teachdaichean OpenLDAP a’ ceangal, lorgar duilgheadasan le post a chuir gu frithealaichean SMTPS agus SMTP le STARTTLS. A bharrachd air an sin, thathas a’ cumail sùil air duilgheadasan ann an grunn sgriobtaichean Ruby, PHP agus Python a bhios a ’cleachdadh modal le teachdaiche http. Trioblaid le brabhsair Epiphany, a chuir stad air luchdachadh liostaichean bacadh sanasachd.
Chan eil an duilgheadas seo a’ toirt buaidh air prògraman Go oir tha Go a’ tabhann TLS.
gu bheil an duilgheadas a’ toirt buaidh air sgaoilidhean sgaoilidh nas sine (a’ gabhail a-steach Debian 9, Ubuntu 16.04, ) a chleachdas meuran OpenSSL trioblaideach, ach an duilgheadas cuideachd nuair a tha am manaidsear pacaid APT a’ ruith ann an fiosan gnàthach Debian 10 agus Ubuntu 18.04 / 20.04, leis gu bheil APT a’ cleachdadh leabharlann GnuTLS. Is e cridhe na trioblaid gu bheil mòran de leabharlannan TLS / SSL a’ parsadh teisteanas mar shlabhraidh sreathach, ach a rèir RFC 4158, faodaidh teisteanas graf cruinn sgaoilte stiùirichte a riochdachadh le grunn acraichean earbsa a dh’ fheumar a thoirt fa-near. Mun locht seo ann an OpenSSL agus GnuTLS . Ann an OpenSSL chaidh an duilgheadas a rèiteachadh ann am meur 1.1.1, agus ann an air fhàgail .
Mar fhuasgladh obrach, thathas a’ moladh an teisteanas “AddTrust External CA Root” a thoirt air falbh bho stòr an t-siostaim (mar eisimpleir, thoir air falbh bho /etc/ca-certificates.conf agus /etc/ssl/certs, agus an uairsin ruith “update-ca -certificates -f -v”), às deidh sin bidh OpenSSL a’ tòiseachadh mar as trice a ’giullachd theisteanasan tar-shoidhnichte le a chom-pàirteachadh. Nuair a bhios tu a’ cleachdadh manaidsear pacaid APT, faodaidh tu dearbhadh teisteanais a dhì-cheadachadh airson iarrtasan fa leth air do chunnart fhèin (mar eisimpleir, “apt-get update -o Acquire ::https::download.jitsi.org ::Verify-Peer=false”) .
Gus an duilgheadas a bhacadh a-steach и Thathas a’ moladh an teisteanas AddTrust a chur ris an liosta dhubh:
trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
earrann ùrachadh-ca-trust
Ach an dòigh seo airson GnuTLS (mar eisimpleir, tha mearachd dearbhaidh teisteanais fhathast a’ nochdadh nuair a bhios tu a’ ruith goireas wget).
Air taobh an fhrithealaiche faodaidh tu a’ liostadh nan teisteanasan anns an t-sreath earbsa a chuir an frithealaiche chun neach-dèiligidh (ma thèid an teisteanas co-cheangailte ri “AddTrust External CA Root” a thoirt air falbh bhon liosta, bidh dearbhadh an neach-dèiligidh soirbheachail). Gus sèine earbsa ùr a sgrùdadh agus a ghineadh, faodaidh tu an t-seirbheis a chleachdadh . Sectigo cuideachd teisteanas eadar-mheadhanach tar-shoidhnichte eile"“, a bhios dligheach gu 2028 agus a chumas co-chòrdalachd le dreachan nas sine den OS.
Cur-ris: Duilgheadas cuideachd ann an LibreSSL.
Source: fosgailtenet.ru