30年2020月XNUMX日以降のSectigo証明書の不具合と解決方法

30 年 2020 月 XNUMX 日土曜日、ベンダー Sectigo (旧 Comodo) の一般的な SSL / TLS 証明書で、すぐには明らかではない問題が発生しました。 証明書自体は引き続き完全な状態を保っていましたが、これらの証明書が提供されたチェーン内の中間 CA 証明書の XNUMX つが破損しました。 この状況はそれほど致命的であるとは言えませんが、不快です。現在のバージョンのブラウザでは何も気付かれませんでしたが、ほとんどの自動化と古いブラウザ/OS はそのような事態に対応する準備ができていませんでした。

ハブルも例外ではなく、それがこの教育プログラム/死後分析が書かれた理由です。

TL; DR 最後の最後に解決策。

PKI、SSL / TLS、https などに関する基本的な理論は省略します。 ドメイン セキュリティ証明書による認証の仕組みは、ブラウザまたはオペレーティング システムによって信頼されている証明書の XNUMX つへの多数の証明書のチェーンを構築し、いわゆるトラスト ストアに保存されます。 このリストは、オペレーティング システム、コード ランタイム エコシステム、またはブラウザーとともに配布されます。 トラスト ストア内の証明書も含め、すべての証明書には有効期限があり、その期限を過ぎると信頼できないとみなされます。 運命の日の前、信頼の連鎖はどのようなものでしたか？ Web ユーティリティがそれを解決するのに役立ちます SSLレポート クアリスより。

したがって、最も人気のある「商用」証明書の 5 つは Sectigo Positive SSL (以前の Comodo Positive SSL、この名前の証明書はまだ使用されています)、いわゆる DV 証明書です。 DV は最も原始的なレベルの認証であり、そのような証明書の発行者によるドメイン管理へのアクセスの検証を意味します。 実際、DV は「ドメイン検証」の略です。 参考: OV (組織検証) と EV (拡張検証) もあり、Let's Encrypt の無料証明書も DV です。 何らかの理由で ACME メカニズムに満足できない人にとっては、Positive SSL 製品が価格と機能の点で最も適しています (単一ドメイン証明書の費用は年間約 7 ～ 2 ドルで、証明書の合計有効期間は最長です) 3歳XNUMXヶ月まで）。

最近まで、Sectigo DV Generic Certificate (RSA) には、次の中間 CA チェーンが付属していました。

Certificate #1:
  Data:
    Version: 3 (0x2)
    Serial Number:
      7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
    Signature Algorithm: sha384WithRSAEncryption
      Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
      Validity
        Not Before: Nov  2 00:00:00 2018 GMT
        Not After : Dec 31 23:59:59 2030 GMT
      Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
  Data:
    Version: 3 (0x2)
    Serial Number:
      13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
    Signature Algorithm: sha384WithRSAEncryption
      Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
      Validity
        Not Before: May 30 10:48:38 2000 GMT
        Not After : May 30 10:48:38 2020 GMT
      Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority

ある時点で自己署名ルート証明書をチェーンに含めることはマナー違反とみなされたため、AddTrust AB からの自己署名の「30 番目の証明書」は存在しません。 AddTrust の UserTrust によって発行された中間 CA の有効期限は 2020 年 30 月 2020 日であることに注意してください。 この CA の廃止手順が計画されているため、これは簡単ではありません。 XNUMX 年 XNUMX 月 XNUMX 日までに、たとえすでに信頼されていない証明書が含まれている場合は、代替パスが構築されるため、誰も気づきません。 しかし、計画は現実、つまり「レガシー システム」という長い用語に衝突しました。 確かに、ブラウザの現在のバージョンの所有者は何も気づきませんでしたが、多くのプログラミング言語のcurlおよびssl / tlsライブラリとコード実行環境に基づいて構築された自動化の山が壊れました。 多くの製品は、OS に組み込まれたチェーン構築ツールによって導かれるのではなく、トラスト ストアを「持ち運ぶ」ことを理解する必要があります。 そして、それらには常に彼らが見たいものが含まれているとは限りません。 CA /ブラウザフォーラム。 また、Linux では、ca 証明書などのパッケージが常に更新されるわけではありません。 最終的にはすべてが順調に進んだように見えますが、ところどころで問題が発生します。

図 1 から、大多数の人にとってはすべてが正常に見えても、誰かにとっては何かが壊れてトラフィックが著しく減少し (左の赤い線)、その後、キー証明書の XNUMX つが置き換えられたときにトラフィックが増加した (右の線) ことが明らかです。 他の証明書が変更されると、途中でバーストが発生し、それに依存するものもありました。 大多数の場合、視覚的にすべてが多かれ少なかれ定期的に動作し続けたため (Habrastorage に写真をロードできないなどの奇妙な不具合を除いて)、Habré 上の従来のクライアントとボットの数について間接的な結論を下すことができます。

図 1. ハブレの「トラフィック」のグラフ。

図 2 は、チェーン内に「壊れた」証明書がある場合でも、現在のバージョンのブラウザでユーザーのブラウザの信頼された CA 証明書への「代替」チェーンがどのように構築されるかを示しています。 セクティゴ自身が信じていたように、これこそが何もしない理由だ。

図 2. 最新のブラウザ バージョンの信頼できる証明書へのチェーン。

しかし、図 3 では、何か問題が発生し、レガシー システムが使用されている場合に、実際にすべてがどのように見えるかを示しています。 この場合、HTTPS 接続は確立されず、「証明書の検証に失敗しました」などのエラーが表示されます。

図 3. ルート証明書とそれによって署名された中間証明書が「腐っている」ため、チェーンは無効になりました。

図 4 では、レガシー システムに対する「ソリューション」がすでに示されています。別の中間証明書、つまり別の CA からの「相互署名」があり、通常はレガシー システムにプレインストールされています。 必要なのは、この証明書 (追加ダウンロードとしてマークされている) を見つけて、「腐った」証明書と置き換えることです。

図 4. レガシー システムの代替チェーン。

ところで、この問題は、Sectigo の過度の傲慢さなどの理由で、広く知られることも、ある種の公的議論も行われませんでした。 たとえば、次のような証明書プロバイダーの意見があります。 尊敬 この状況に：

以前は彼らは [セクティゴ] 何も問題がないことを皆さんに保証します。 ただし、実際には、一部のレガシー サーバー/デバイスが影響を受けます。

それはとんでもない状況だ。 私たちは有効期限が切れる AddTrust RSA/ECC について XNUMX 年以内に何度も注意を向けましたが、そのたびに Sectigo は問題はないと保証してくれました。

個人的に聞いてみた 質問 この件については XNUMX か月前に Stack Overflow で質問しましたが、どうやらこのプロジェクトの読者はそのような質問にはあまり適していないようで、分析後は自分で答える必要がありました。

セクチゴ 解放された この件に関する FAQ がありますが、非常に読みにくく、長いので使用することはできません。 以下はこの出版物全体の核心である引用です。

するべきこと
最新のクライアント システムまたはサーバー システムにサービスを提供する証明書を含むほとんどの使用例では、AddTrust ルートにクロスチェーンされた証明書を発行したかどうかに関係なく、アクションは必要ありません。

4月30、2020のように: 非常に古いシステムに依存するビジネス プロセスのために、Sectigo は相互署名用の新しいレガシー ルートである「AAA Certificate Services」ルートを (証明書バンドルのデフォルトで) 利用できるようにしました。 ただし、非常に古いレガシー システムに依存するプロセスについては細心の注意を払ってください。 Sectigo の COMODO ルートなどの新しいルートをサポートするために必要なアップデートを受け取っていないシステムは、必然的に他の重要なセキュリティ アップデートが欠落しているため、安全ではないと考えるべきです。 それでも AAA 証明書サービスのルートに相互署名したい場合は、Sectigo に直接お問い合わせください。

もちろん、私は「非常に古い」論文が大好きです。 たとえば、最新のアップデートが 18.04 か月も経っていない Ubuntu Linux XNUMX LTS (現時点でのベース OS) のコンソールでのcurlは、非常に古いとは言いがたいですが、機能しません。

ほとんどの証明書配布会社は、30 月 XNUMX 日の午後遅くに決定文書を発表しました。 たとえば、技術用語では非常に適しています。 NameCheap (何をすべきかの具体的な説明と、zip アーカイブ内の既製の CA バンドルを使用しますが、RSA のみ):

図 5. 問題を迅速に解決するための XNUMX つのステップ。

あり 良い品 Redhat から提供されていますが、レガシーはますます増えており、すべてを機能させるには、Comodo からさらに多くのルートレガシー証明書をインストールする必要があります。

ソリューション

ここでもソリューションを複製する価値があります。 以下は証明書の XNUMX つのチェーン セットです。 DV Sectigo (Comodo ではありません!)、XNUMX つはよく知られた RSA 証明書用、もう XNUMX つはあまり馴染みのない ECC (ECDSA) 証明書用です (私たちは長い間 XNUMX つのチェーンを使用してきました)。 ECC の場合、ほとんどのソリューションではそのような証明書の普及率が低いためにその存在を考慮していないため、これはさらに困難でした。 その結果、必要な中間証明書が見つかりました。 crt.sh.

鍵アルゴリズムに基づく証明書のチェーン RSA。 チェーンと比較すると、下の証明書のみが置き換えられ、上の証明書は同じままであることがわかります。 私は自宅では、「等しい」文字を除いて、base64 ブロックの最後の XNUMX 文字によってそれらを区別しています (この場合) En8= и 1+V):

# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----
MIIGEzCCA/ugAwIBAgIQfVtRJrR2uhHbdBYLvFMNpzANBgkqhkiG9w0BAQwFADCB
iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0pl
cnNleSBDaXR5MR4wHAYDVQQKExVUaGUgVVNFUlRSVVNUIE5ldHdvcmsxLjAsBgNV
BAMTJVVTRVJUcnVzdCBSU0EgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTgx
MTAyMDAwMDAwWhcNMzAxMjMxMjM1OTU5WjCBjzELMAkGA1UEBhMCR0IxGzAZBgNV
BAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4GA1UEBxMHU2FsZm9yZDEYMBYGA1UE
ChMPU2VjdGlnbyBMaW1pdGVkMTcwNQYDVQQDEy5TZWN0aWdvIFJTQSBEb21haW4g
VmFsaWRhdGlvbiBTZWN1cmUgU2VydmVyIENBMIIBIjANBgkqhkiG9w0BAQEFAAOC
AQ8AMIIBCgKCAQEA1nMz1tc8INAA0hdFuNY+B6I/x0HuMjDJsGz99J/LEpgPLT+N
TQEMgg8Xf2Iu6bhIefsWg06t1zIlk7cHv7lQP6lMw0Aq6Tn/2YHKHxYyQdqAJrkj
eocgHuP/IJo8lURvh3UGkEC0MpMWCRAIIz7S3YcPb11RFGoKacVPAXJpz9OTTG0E
oKMbgn6xmrntxZ7FN3ifmgg0+1YuWMQJDgZkW7w33PGfKGioVrCSo1yfu4iYCBsk
Haswha6vsC6eep3BwEIc4gLw6uBK0u+QDrTBQBbwb4VCSmT3pDCg/r8uoydajotY
uK3DGReEY+1vVv2Dy2A0xHS+5p3b4eTlygxfFQIDAQABo4IBbjCCAWowHwYDVR0j
BBgwFoAUU3m/WqorSs9UgOHYm8Cd8rIDZsswHQYDVR0OBBYEFI2MXsRUrYrhd+mb
+ZsF4bgBjWHhMA4GA1UdDwEB/wQEAwIBhjASBgNVHRMBAf8ECDAGAQH/AgEAMB0G
A1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjAbBgNVHSAEFDASMAYGBFUdIAAw
CAYGZ4EMAQIBMFAGA1UdHwRJMEcwRaBDoEGGP2h0dHA6Ly9jcmwudXNlcnRydXN0
LmNvbS9VU0VSVHJ1c3RSU0FDZXJ0aWZpY2F0aW9uQXV0aG9yaXR5LmNybDB2Bggr
BgEFBQcBAQRqMGgwPwYIKwYBBQUHMAKGM2h0dHA6Ly9jcnQudXNlcnRydXN0LmNv
bS9VU0VSVHJ1c3RSU0FBZGRUcnVzdENBLmNydDAlBggrBgEFBQcwAYYZaHR0cDov
L29jc3AudXNlcnRydXN0LmNvbTANBgkqhkiG9w0BAQwFAAOCAgEAMr9hvQ5Iw0/H
ukdN+Jx4GQHcEx2Ab/zDcLRSmjEzmldS+zGea6TvVKqJjUAXaPgREHzSyrHxVYbH
7rM2kYb2OVG/Rr8PoLq0935JxCo2F57kaDl6r5ROVm+yezu/Coa9zcV3HAO4OLGi
H19+24rcRki2aArPsrW04jTkZ6k4Zgle0rj8nSg6F0AnwnJOKf0hPHzPE/uWLMUx
RP0T7dWbqWlod3zu4f+k+TY4CFM5ooQ0nBnzvg6s1SQ36yOoeNDT5++SR2RiOSLv
xvcRviKFxmZEJCaOEDKNyJOuB56DPi/Z+fVGjmO+wea03KbNIaiGCpXZLoUmGv38
sbZXQm2V0TP2ORQGgkE49Y9Y3IBbpNV9lXj9p5v//cWoaasm56ekBYdbqbe4oyAL
l6lFhd2zi+WJN44pDfwGF/Y4QA5C5BIG+3vzxhFoYt/jmPQT2BVPi7Fp2RBgvGQq
6jG35LWjOhSbJuMLe/0CjraZwTiXWTb2qHSihrZe68Zk6s+go/lunrotEbaGmAhY
LcmsJWTyXnW0OMGuf1pGg+pRyrbxmRE1a6Vqe8YAsOf4vmSyrcjC8azjUeqkk+B5
yOGBQMkKW+ESPMFgKuOXwIlCypTPRpgSabuY0MLTDXJLR27lk8QyKGOHQ+SwMj4K
00u/I5sUKUErmgQfky3xxzlIPK1aEn8=
-----END CERTIFICATE-----

# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

鍵アルゴリズムに基づく証明書のチェーン ECC。 RSA のチェーンと同様に、下位の証明書のみが置き換えられ、上位の証明書は変更されませんでした (この場合、 fmA== и v/c=):

# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

それだけです。 ご清聴ありがとうございました。

出所： habr.com