Laugardaginn 30. maí 2020 kom upp ekki strax skýrt vandamál með vinsæl SSL / TLS vottorð frá söluaðilanum Sectigo (fyrrum Comodo). Skírteinin sjálf héldu áfram að vera í fullkomnu lagi, en eitt af millistigum CA skírteina í keðjunum sem þessi skírteini voru afhent með rotnaði. Ástandið er ekki að segja það banvænt, heldur óþægilegt: núverandi útgáfur af vafra tóku ekki eftir neinu, hins vegar voru flestir sjálfvirknivarnir og gamlir vafrar / stýrikerfi ekki tilbúnir fyrir slíka beygju.
Habr var engin undantekning og þess vegna var þessi fræðsludagskrá / skurðaðgerð skrifuð.
TL; DR Lausn alveg í lokin.
Sleppum grunnkenningunni um PKI, SSL / TLS, https og fleira. Vélfræði auðkenningar með lénsöryggisskírteini er að byggja upp keðju fjölda vottorða til eins þeirra sem vafra eða stýrikerfi treystir, sem eru geymd í svokölluðu Trust Store. Þessum lista er dreift með stýrikerfinu, vistkerfi kóða keyrslutíma eða vafra. Öll skírteini hafa gildistíma eftir að þau eru talin ótraust, þar með talið skírteini í traustaversluninni. Hvernig leit trúnaðarkeðjan út fyrir hinn örlagaríka dag? Vefforrit mun hjálpa okkur að finna út úr því frá Qualys.
Þannig að eitt vinsælasta „auglýsinga“ skírteinið er Sectigo Positive SSL (áður Comodo Positive SSL, skírteini með þessu nafni eru enn í notkun), það er svokallað DV-vottorð. DV er frumstæðasta vottunarstigið, sem þýðir sannprófun á aðgangi að lénsstjórnun hjá útgefanda slíks vottorðs. Í raun stendur DV fyrir "lénsvottun". Til viðmiðunar: það er líka OV (organization validation) og EV (extended validation), og ókeypis vottorð frá Let's Encrypt er einnig DV. Fyrir þá sem af einhverjum ástæðum eru ekki ánægðir með ACME vélbúnaðinn, þá hentar jákvæða SSL varan best með tilliti til verðs/eiginleika (eins lénsvottorð kostar um 5-7 dollara á ári með heildargildistíma skírteina upp á allt að til 2 ára og 3 mánaða).
Sectigo DV Generic Certificate (RSA) þar til nýlega kom með þessari keðju millistigs CA:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityÞað er ekkert „þriðja skírteini“, sjálfundirritað frá AddTrust AB, þar sem á einhverjum tímapunkti varð það álitinn slæmur siður að hafa sjálfundirrituð rótarvottorð í keðjur. Athugaðu að millistigs-CA sem gefið er út af UserTrust AddTrust er með gildistíma 30. maí 2020. Þetta er ekki auðvelt þar sem fyrirhugað var að taka úr notkun fyrir þetta CA. Talið var að fyrir 30. maí 2020 myndi krossundirritað vottorð frá UserTrust birtast í öllum traustverslunum á þessum tíma (undir hettunni er þetta sama vottorð, eða öllu heldur opinber lykill) og keðjunni, jafnvel með þegar ótraust vottorð innifalið, mun hafa aðrar leiðir að byggja og enginn mun taka eftir því. Hins vegar hrundu áformin út í sandinn, nefnilega hið langa hugtak "arfleifðarkerfi". Reyndar tóku eigendur núverandi útgáfur af vafra ekki eftir neinu, hins vegar brotnaði sjálfvirknifjallið sem byggt var á curl og ssl / tls bókasöfnum fjölda forritunarmála og kóðaframkvæmdarumhverfis. Það ætti að skilja að margar vörur eru ekki leiddar af keðjubyggingarverkfærunum sem eru innbyggð í stýrikerfið, heldur „bera“ traustverslun sína með sér. Og þeir innihalda ekki alltaf það sem þeir vilja sjá. . Og í Linux eru pakkar eins og ca-vottorð ekki alltaf uppfærðir. Á endanum virðist allt vera í lagi en eitthvað virkar ekki hér og þar.
Af mynd 1 er ljóst að þó allt hafi litið eðlilega út hjá langflestum þá bilaði eitthvað hjá einhverjum og umferðin minnkaði verulega (vinstri rauð lína), síðan stækkaði hún þegar skipt var um eitt lykilskírteinið (hægri lína). Það voru sprungur í miðjunni, þegar öðrum skírteinum var breytt, sem eitthvað var líka háð. Þar sem fyrir meirihlutann hélt allt sjónrænt áfram að virka meira og minna reglulega (að undanskildum undarlegum bilunum eins og ómögulegt að hlaða myndum á Habrastorage), getum við gert óbeina ályktun um fjölda eldri viðskiptavina og vélmenna á Habré.
Mynd 1. Graf af "umferð" á Habré.
Mynd 2 sýnir hvernig „val“ keðja er byggð í núverandi útgáfum vafra við traust CA vottorð í vafra notandans, jafnvel þótt „rotið“ vottorð sé í keðjunni. Þetta, eins og Sectigo trúði sjálf, er ástæðan fyrir því að gera ekki neitt.
Mynd 2. Keðja við traust vottorð fyrir nútíma vafraútgáfu.
En á mynd 3 geturðu séð hvernig allt lítur í raun út þegar eitthvað fór úrskeiðis og við erum með arfgengt kerfi. Í þessu tilviki er HTTPS tengingunni ekki komið á og við sjáum villu eins og „vottorðsprófun mistókst“ eða álíka.
Mynd 3. Keðjan var ógild vegna þess að rótarvottorðið og millistigið sem það var undirritað var „rotið“.
Á mynd 4 sjáum við nú þegar „lausn“ fyrir eldri kerfi: það er annað millivottorð, eða öllu heldur „cross-undirskrift“ frá öðru CA, sem venjulega er foruppsett í eldri kerfum. Þetta er það sem þú þarft að gera: finna þetta skírteini (sem er merkt sem Extra download) og skipta um "rotið" fyrir það.
Mynd 4. Önnur keðja fyrir eldri kerfi.
Við the vegur: Vandamálið vakti ekki mikla umfjöllun og einhvers konar opinbera umræðu, þar á meðal vegna óhóflegs hroka Sectigo. Til dæmis, hér er álit eins af vottunaraðilum í við þessar aðstæður:
Áður hafa þeir [Sectigo] fullvissaði alla um að engin vandamál yrðu. Hins vegar er raunveruleikinn sá að sumir eldri netþjónar/tæki verða fyrir áhrifum.
Það er fáránlegt ástand. Við bentum athygli þeirra á AddTrust RSA/ECC sem er að renna út mörgum sinnum innan árs og í hvert skipti sem Sectigo fullvissaði okkur um að engin vandamál yrðu.
spurði ég persónulega á Stack Overflow um þetta fyrir mánuði síðan, en greinilega hentar áhorfendur verkefnisins ekki mjög vel fyrir slíkar spurningar, svo ég varð að svara því sjálfur eftir greininguna.
sectigo Það eru algengar spurningar um þetta efni, en þær eru svo ólæsilegar og langar að það er ómögulegt að nota hana. Hér er tilvitnun sem er kjarninn í allri útgáfunni:
Það sem þú þarft að gera
Í flestum notkunartilvikum, þar á meðal vottorðum sem þjóna nútíma viðskiptavina- eða netþjónakerfum, er engin þörf á aðgerðum, hvort sem þú hefur gefið út skírteini þvert á AddTrust rótina eða ekki.Frá og með 30. apríl 2020: Fyrir viðskiptaferla sem eru háðir mjög gömlum kerfum hefur Sectigo gert aðgengilegt (sjálfgefið í vottorðaböndlunum) nýja eldri rót fyrir krossundirritun, „AAA Certificate Services“ rótina. Hins vegar skaltu gæta mikillar varúðar varðandi öll ferli sem eru háð mjög gömlum eldri kerfum. Kerfi sem hafa ekki fengið nauðsynlegar uppfærslur til að styðja við nýrri rætur eins og COMODO rót Sectigo munu óhjákvæmilega vanta aðrar nauðsynlegar öryggisuppfærslur og ætti að teljast óörugg. Ef þú vilt samt krossskrá þig við rót AAA vottorðsþjónustunnar, vinsamlegast hafðu samband við Sectigo beint.
Mér líkar auðvitað mjög vel við "mjög gamla" ritgerðina. Til dæmis, krullaðu í stjórnborðinu á Ubuntu Linux 18.04 LTS (grunnstýrikerfi okkar í augnablikinu) með nýjustu uppfærslunum sem eru ekki eldri en mánuður, það er erfitt að kalla mjög gamalt, en það virkar ekki.
Flestir vottorðsdreifingaraðilar gáfu út ákvörðunarskýrslur sínar síðdegis 30. maí. Til dæmis hentar mjög vel í tæknilegu tilliti frá (með sérstakri lýsingu á því hvað á að gera og með tilbúnum CA-búntum í zip skjalasafni, en aðeins RSA):
Mynd 5. Sjö skref til að laga hlutina fljótt.
Það er frá Redhat, en það er meira og meira Legacy og þú þarft að setja upp enn meira root legacy vottorð frá Comodo til að allt virki.
ákvörðun
Það er þess virði að endurtaka lausnina hér líka. Hér að neðan eru tvö sett af keðjum fyrir vottorð DV Sectigo (ekki Comodo!), annað fyrir kunnugleg RSA vottorð, hitt fyrir minna kunnugleg ECC (ECDSA) vottorð (við höfum notað tvær keðjur í langan tíma). Með ECC var það erfiðara, þar sem flestar lausnir taka ekki tillit til tilvistar slíkra vottorða vegna lítillar útbreiðslu þeirra. Þar af leiðandi fannst tilskilið millivottorð á .
Keðja fyrir vottorð byggt á lykilalgrími RSA. Berðu saman við keðjuna þína og athugaðu að aðeins neðra vottorðinu hefur verið skipt út, en það efra hefur staðið í stað. Ég greini þá heima með síðustu þremur stöfunum í base64 kubbum, án þess að telja „jafnan“ stafinn með (í þessu tilfelli En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Keðja fyrir vottorð byggt á lykilalgrími ECC. Á svipaðan hátt með keðjuna fyrir RSA var aðeins skipt út fyrir neðra vottorðið en það efra var óbreytt (í þessu tilviki fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Það er nokkurn veginn það. Takk fyrir athyglina.
Heimild: www.habr.com