Samdi 30 me 2020, yon pwoblèm pa imedyatman klè te parèt ak sètifika SSL/TLS popilè nan men vandè Sectigo (ansyen Comodo). Sètifika yo tèt yo te kontinye nan lòd pafè, men youn nan sètifika entèmedyè CA yo nan chenn yo ak sètifika sa yo te apwovizyone te vin pouri. Sitiyasyon an pa fatal, men dezagreyab: vèsyon aktyèl navigatè yo pa t remake anyen, men pifò nan automatisation ak pi gran navigatè / eksplwatasyon yo pa t pare pou yon vire konsa.
Habr pa t gen okenn eksepsyon, se poutèt sa yo te ekri pwogram edikasyon/postmortem sa a.
TL; DR Solisyon an se nan fen anpil.
Ann sote teyori debaz sou PKI, SSL/TLS, https, elatriye. Mekanik yo nan otantifikasyon ak yon sètifika sekirite domèn konsiste de bati yon chèn nan yon kantite sètifika jiska youn fè konfyans pa navigatè a oswa sistèm opere, ki yo estoke nan sa yo rele Trust Store la. Lis sa a distribye ak sistèm operasyon an, ekosistèm ègzekutabl, oswa navigatè. Nenpòt sètifika gen yon dat ekspirasyon, apre sa yo konsidere yo pa fè konfyans, ki gen ladan sètifika nan magazen an konfyans. Ki jan chèn konfyans nan te sanble anvan jou fatal la? Yon sèvis piblik entènèt ap ede nou konnen li. soti nan Qualys.
Kidonk, youn nan sètifika "komèsyal" ki pi popilè yo se Sectigo Positive SSL (anvan yo rele Comodo Positive SSL, sètifika ak non sa a toujou itilize), li se sa yo rele sètifika DV. DV se nivo sètifikasyon ki pi primitif, ki vle di tcheke aksè nan jesyon domèn pou moun ki bay yon sètifika konsa. Aktyèlman, DV la vle di "validation domèn". Pou referans: gen tou OV (validasyon òganizasyon) ak EV (validasyon pwolonje), ak yon sètifika gratis ki soti nan Let's Encrypt se DV tou. Pou moun ki pou kèk rezon pa satisfè ak mekanis ACME, pwodwi SSL pozitif la se pi apwopriye an tèm de rapò pri/karakteristik (yon sètifika yon sèl domèn koute apeprè $ 5-7 pou chak ane ak yon validite sètifika total ki rive jiska 2 zan ak 3 mwa).
Jiska dènyèman, sètifika estanda Sectigo DV (RSA) te apwovizyone ak chèn sa a nan CA entèmedyè:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityPa gen okenn "twazyèm sètifika", yon siyen pwòp tèt ou soti nan AddTrust AB, depi nan kèk pwen nan tan li te vin konsidere kòm move fason yo enkli sètifika rasin pwòp tèt ou siyen nan chenn. Ou ka sonje ke CA entèmedyè UserTrust soti nan AddTrust gen yon dat ekspirasyon 30 me 2020. Sa a pa fasil, depi yon pwosedi dekomisyonin te planifye pou CA sa a. Yo te kwè ke pa 30 me 2020, yon sètifika kwa-siyen soti nan UserTrust ta parèt nan tout magazen konfyans nan moman sa a (anba kapo a se menm sètifika a, oswa pito yon kle piblik) ak chèn lan, menm avèk yon sètifika ki deja fè konfyans enkli, pral gen konstriksyon chemen altènatif epi pèsonn pa pral remake li. Sepandan, plan yo te kraze pa reyalite, sètadi tèm vag "sistèm eritaj". Vreman vre, pwopriyetè vèsyon aktyèl navigatè yo pa t remake anyen, men yon ti mòn nan automatisation bati sou curl ak ssl / tls bibliyotèk nan yon kantite lang pwogramasyon ak anviwònman ekzekisyon kòd te kraze. Ou bezwen konprann ke anpil pwodwi yo pa gide pa zouti yo bati chèn bati nan eksplwatasyon an, men "pote" magazen konfyans yo avèk yo. Epi yo pa toujou genyen sa ou ta renmen wè . Ak nan Linux, pakè tankou ca-sètifika yo pa toujou mete ajou. Nan fen a, tout bagay sanble yo nan lòd, men yon bagay pa travay isit la epi gen.
Soti nan Figi 1 li klè ke byenke pou vas majorite tout bagay te sanble kòm dabitid, pou kèk bagay te kraze ak trafik la tonbe notables (liy wouj gòch la), Lè sa a, li te grandi lè youn nan sètifika kle yo te ranplase (liy dwat la). Te gen tou Spikes nan mitan an, lè lòt sètifika yo te chanje, sou ki yon bagay tou depann. Depi pou majorite a tout bagay vizyèlman kontinye travay plis oswa mwens nòmalman (ak eksepsyon de pepen etranj tankou enkapasite a chaje foto sou Habrastorage), nou ka tire yon konklizyon endirèk sou kantite kliyan eritaj ak bots sou Habr.
Figi 1. Grafik trafik sou Habré.
Soti nan Figi 2, ou ka evalye ki jan nan vèsyon aktyèl nan navigatè yo bati yon chèn "altènatif" nan yon sètifika CA ou fè konfyans nan navigatè itilizatè a, menm si gen yon sètifika "pouri" nan chèn lan. Sa a, jan Sectigo li menm te kwè, se te rezon ki fè yo pa fè anyen.
Figi 2. Chèn nan sètifika a fè konfyans nan vèsyon an modèn nan navigatè a.
Men, nan Figi 3 ou ka wè ki jan tout bagay aktyèlman sanble lè yon bagay ale mal epi nou gen yon sistèm eritaj. Nan ka sa a, koneksyon HTTPS la pa etabli epi nou wè yon erè tankou "validasyon sètifika echwe" oswa menm jan an.
Figi 3. Chèn nan te anile paske sètifika rasin lan ak sètifika entèmedyè li te siyen an te "pouri".
Nan Figi 4 nou deja wè yon "solisyon" pou sistèm eritaj: gen yon lòt sètifika entèmedyè, oswa pito yon "kwa-siyati" ki soti nan yon lòt CA, ki anjeneral pre-enstale nan sistèm eritaj. Sa a se sa ou bezwen fè: jwenn sètifika sa a (ki make kòm Extra download) epi ranplase "pouri" a avèk li.
Figi 4. Chèn altènatif pou sistèm eritaj.
By wout la: pwoblèm nan pa t 'gen gwo piblisite oswa okenn diskisyon piblik, ki gen ladan akòz awogans nan twòp nan Sectigo. Isit la, pou egzanp, se opinyon youn nan founisè sètifika yo nan nan sitiyasyon sa a:
Précédemment yo [Sectigo] tout moun ki asire pa gen pwoblèm yo pral. Sepandan, reyalite a se ke kèk eritaj sèvè / aparèy yo afekte.
Sa se yon sitiyasyon ridikil. Nou te atire atansyon yo sou AddTrust RSA/ECC ki ekspire plizyè fwa nan yon ane epi chak fwa Sectigo te asire nou pa gen pwoblèm.
Mwen pèsonèlman te mande sou Stack Overflow sou sa a yon mwa de sa, men aparamman, odyans pwojè a pa trè apwopriye pou kesyon sa yo, kidonk mwen te oblije reponn li tèt mwen apre analiz la.
Sektigo Gen yon FAQ sou sa, men li tèlman lizib ak long ke li enposib pou itilize. Men yon sitasyon ki se senkant nan tout piblikasyon an:
Ki sa ou bezwen fè
Pou pifò ka itilize, ki gen ladan sètifika k ap sèvi sistèm modèn kliyan oswa sèvè, pa gen okenn aksyon obligatwa, kit ou pa te bay sètifika kwaze ak rasin AddTrust.Kòm nan 30 avril, 2020: Pou pwosesis biznis ki depann de sistèm trè ansyen, Sectigo te fè disponib (pa default nan pakèt sètifika yo) yon nouvo rasin eritaj pou siyen kwa, rasin "AAA Sètifika Sèvis". Sepandan, tanpri pran anpil prekosyon sou nenpòt pwosesis ki depann de ansyen sistèm eritaj yo. Sistèm ki pa te resevwa mizajou ki nesesè pou sipòte rasin ki pi resan yo tankou rasin COMODO Sectigo a pral inevitableman manke lòt mizajou sekirite esansyèl epi yo ta dwe konsidere kòm ensekirite. Si w ta renmen toujou siyen ak rasin Sèvis Sètifika AAA, tanpri kontakte Sectigo dirèkteman.
Mwen vrèman renmen "trè fin vye granmoun" tèz la, nan kou. Pou egzanp, pli nan konsole Ubuntu Linux 18.04 LTS (OS baz nou an nan moman sa a) ak dènye mizajou ki pa gen plis pase yon mwa ka diman rele trè fin vye granmoun, men li pa travay.
Pifò distribitè sètifika yo te pibliye nòt desizyon yo an reta nan apremidi 30 me. Pou egzanp, trè teknikman apwopriye soti nan (Avèk yon deskripsyon espesifik sou sa yo dwe fè ak ak CA-bundle ki pare nan achiv postal, men sèlman RSA):
Figi 5. Sèt etap pou ranje tout bagay byen vit.
Gen soti nan Redhat, men tout bagay se plis Legacy epi ou bezwen enstale yon sètifika eritaj rasin menm plis soti nan Comodo pou tout bagay travay.
desizyon
Li vo kopi solisyon an isit la tou. Anba a se de seri chèn sètifika DV Sectigo (pa Comodo!), youn pou sètifika abityèl RSA yo, lòt la pou sètifika ECC (ECDSA) mwens abitye (nou te itilize de chèn depi kèk tan). Avèk ECC li te pi difisil, paske pifò solisyon pa pran an kont prezans sètifika sa yo akòz prévalence ki ba yo. Kòm yon rezilta, yo te jwenn sètifika entèmedyè obligatwa a .
Chèn pou sètifika ki baze sou yon algorithm kle RSA. Konpare ak chèn ou a epi sonje ke se sèlman sètifika anba a te ranplase, pandan y ap youn nan tèt rete menm jan an. Mwen distenge yo nan kondisyon chak jou pa twa dènye karaktè yo nan blòk baz64, san konte senbòl "egal" (nan ka sa a En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Chèn pou sètifika ki baze sou yon algorithm kle ECC. Menm jan an tou ak chèn lan pou RSA, se sèlman sètifika ki pi ba a te ranplase, ak yon sèl ki anwo a rete menm jan an (nan ka sa a fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Sa a se bèl anpil li. Mèsi pou atansyon ou.
Sous: www.habr.com