Május 30-án lejárt a gyökértanúsítvány 20 éves érvényességi ideje hogy az egyik legnagyobb tanúsító hatóság, a Sectigo (Comodo) kereszt-aláírt tanúsítványainak generálására. A keresztaláírás lehetővé tette az olyan régi eszközökkel való kompatibilitást, amelyek nem tartalmazták az új USERTRust gyökértanúsítványt a gyökértanúsítvány-tárolójukhoz.
Elméletileg az AddTrust gyökértanúsítvány megszüntetése csak a régi rendszerekkel (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 stb.) való kompatibilitás megsértéséhez vezethet, mivel a keresztaláírásban használt második gyökértanúsítvány megmarad. érvényes és modern böngészők figyelembe veszik a bizalmi lánc ellenőrzésekor. A gyakorlatról Problémák a keresztaláírások ellenőrzésével a nem böngésző TLS-kliensekben, beleértve az OpenSSL 1.0.x-en és a GnuTLS-en alapulókat is. A biztonságos kapcsolat már nem jön létre, és hiba jelzi, hogy a tanúsítvány elavult, ha a kiszolgáló egy bizalmi lánc által az AddTrust gyökértanúsítvánnyal összekapcsolt Sectigo-tanúsítványt használ.
Ha a modern böngészők felhasználói nem vették észre az AddTrust gyökértanúsítvány elavulását a kereszt-aláírt Sectigo-tanúsítványok feldolgozása során, akkor problémák kezdtek felbukkanni a különböző harmadik féltől származó alkalmazásokban és szerveroldali kezelőkben, ami számos olyan infrastruktúra, amely titkosított kommunikációs csatornákat használ az összetevők közötti interakcióhoz.
Például voltak a Debian és az Ubuntu egyes csomagtárolóihoz való hozzáféréssel (az apt tanúsítvány-ellenőrzési hibát generált), a „curl” és a „wget” segédprogramokat használó szkriptek kérései meghiúsultak, hibákat észleltek a Git használata során, A Roku streaming platform működik, a kezelőket már nem hívják и , elindult a Heroku alkalmazásokban, Az OpenLDAP kliensek csatlakoznak, problémákat észleltek az SMTPS-re és a STARTTLS-szel rendelkező SMTP-kiszolgálókra történő levélküldéssel kapcsolatban. Ezenkívül problémák figyelhetők meg a különböző Ruby, PHP és Python szkriptekben, amelyek egy http-kliens modult használnak. Böngésző probléma Epiphany, amely leállította a hirdetésblokkoló listák betöltését.
A Go programokat ez a probléma nem érinti, mert a Go kínál TLS.
hogy a probléma a régebbi terjesztési kiadásokat érinti (beleértve a Debian 9, Ubuntu 16.04, ), amelyek problémás OpenSSL ágakat használnak, de a probléma akkor is, ha az APT csomagkezelő fut a Debian 10 és az Ubuntu 18.04/20.04 aktuális kiadásaiban, mivel az APT a GnuTLS könyvtárat használja. A probléma lényege, hogy sok TLS/SSL-könyvtár lineáris láncként elemzi a tanúsítványt, míg az RFC 4158 szerint egy tanúsítvány egy irányított elosztott körkörös gráfot képviselhet több megbízhatósági horgonyval, amelyeket figyelembe kell venni. Az OpenSSL és a GnuTLS hibájáról . Az OpenSSL-ben a problémát az 1.1.1-es ágban és azokban javították maradványok .
Megkerülő megoldásként azt javasoljuk, hogy távolítsa el az „AddTrust External CA Root” tanúsítványt a rendszertárolóból (például távolítsa el az /etc/ca-certificates.conf és /etc/ssl/certs fájlokból, majd futtassa az „update-ca -tanúsítványok -f -v"), amely után az OpenSSL megkezdi a kereszt-aláírt tanúsítványok normál feldolgozását a részvételével. Az APT csomagkezelő használatakor saját felelősségére letilthatja az egyes kérések tanúsítványellenőrzését (például „apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false”) .
A probléma blokkolásához и Javasoljuk az AddTrust tanúsítvány felvételét a feketelistára:
trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
update-ca-trust kivonat
De ez a módszer GnuTLS esetén (például a wget segédprogram futtatásakor továbbra is tanúsítvány-ellenőrzési hiba jelenik meg).
A szerver oldalon megteheti a kiszolgáló által a kliensnek küldött megbízhatósági láncban található tanúsítványok felsorolása (ha az „AddTrust External CA Root”-hoz társított tanúsítványt eltávolítják a listáról, akkor az ügyfél ellenőrzése sikeres lesz). Új bizalmi lánc ellenőrzéséhez és létrehozásához használhatja a szolgáltatást . Sectigo is alternatív kereszt aláírt köztes tanúsítvány "“, amely 2028-ig lesz érvényes, és megőrzi a kompatibilitást az operációs rendszer régebbi verzióival.
Kiegészítés: Probléma is a LibreSSL-ben.
Forrás: opennet.ru