30 жылғы 2020 мамырда сенбіде Sectigo (бұрынғы Comodo) сатушысының танымал SSL / TLS сертификаттарымен бірден түсініксіз мәселе туындады. Сертификаттардың өзі тамаша тәртіпте болды, дегенмен осы сертификаттар берілген тізбектердегі аралық CA сертификаттарының бірі шіріп кетті. Жағдай өлімге әкелетін, бірақ жағымсыз деп айтуға болмайды: браузерлердің қазіргі нұсқалары ештеңені байқамады, дегенмен автоматтандырудың көпшілігі мен ескі браузерлер / ОЖ мұндай бұрылысқа дайын болмады.
Хабр да ерекшелік емес еді, сондықтан бұл білім беру бағдарламасы / постмортем жазылды.
TL; DR Шешім ең соңында.
PKI, SSL / TLS, https және т.б. туралы негізгі теорияны өткізіп жіберейік. Домендік қауіпсіздік сертификаты арқылы аутентификация механизмі Trust Store деп аталатын браузерде немесе операциялық жүйеде сенімді болғандардың біріне сертификаттар қатарын құру болып табылады. Бұл тізім операциялық жүйемен, кодтың орындалу уақыты экожүйесімен немесе браузермен бірге таратылады. Кез келген сертификаттардың жарамдылық мерзімі болады, содан кейін олар сенімсіз деп саналады, соның ішінде сенімді дүкендегі куәліктер. Тағдырлы күннің алдында сенім тізбегі қандай болды? Веб-утилита бізге оны анықтауға көмектеседі Qualys.
Сонымен, ең танымал «коммерциялық» сертификаттардың бірі - Sectigo Positive SSL (бұрынғы Comodo Positive SSL, осы атаудағы сертификаттар әлі де қолданыста), ол DV-сертификат деп аталады. DV сертификаттаудың ең қарапайым деңгейі болып табылады, ол мұндай сертификат эмитентінің доменді басқаруға қол жеткізуін тексеруді білдіреді. Шын мәнінде, DV «доменді тексеру» дегенді білдіреді. Анықтама үшін: сондай-ақ OV (ұйымның валидациясы) және EV (кеңейтілген тексеру) бар және Let's Encrypt тегін сертификаты да DV болып табылады. Қандай да бір себептермен ACME механизмімен қанағаттанбағандар үшін Positive SSL өнімі бағасы/мүмкіндіктері бойынша ең қолайлы болып табылады (бір домендік сертификат жылына шамамен 5-7 доллар тұрады, сертификаттың жалпы жарамдылық мерзімі жоғары). 2 жыл 3 айға дейін).
Sectigo DV жалпы сертификаты (RSA) соңғы уақытқа дейін осы аралық CA тізбегімен бірге келді:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityAddTrust AB-дан өздігінен қол қойылған «үшінші сертификат» жоқ, өйткені белгілі бір уақытта өздігінен қол қойылған түбірлік сертификаттарды тізбектерге қосу жаман әдет болып саналды. AddTrust's UserTrust шығарған аралық CA-ның жарамдылық мерзімі 30 жылдың 2020 мамырында болатынын ескеріңіз. Бұл оңай емес, өйткені осы ОА үшін пайдаланудан шығару процедурасы жоспарланған болатын. 30 жылдың 2020 мамырына дейін UserTrust компаниясының кросс-қол қойылған сертификаты осы уақытқа дейін барлық сенімді дүкендерде пайда болады деп есептелді (қапшық астында бұл бірдей сертификат, дәлірек айтқанда, ашық кілт) және тізбек, тіпті қазірдің өзінде сенімсіз сертификат қосылған, балама жолдар құрылады және ешкім байқамайды. Дегенмен, жоспарлар шындыққа айналды, атап айтқанда ұзақ мерзімді «мұра жүйелер». Шынында да, браузерлердің ағымдағы нұсқаларының иелері ештеңені байқамады, дегенмен, бірқатар бағдарламалау тілдерінің curl және ssl / tls кітапханаларында және кодты орындау орталарында құрылған автоматтандыру тауы бұзылды. Түсіну керек, көптеген өнімдер ОЖ-да орнатылған тізбекті құру құралдарын басшылыққа алмайды, бірақ олармен сенімді дүкенді «тасымалдайды». Және олар әрқашан көргісі келетін нәрсені қамтымайды. . Ал Linux жүйесінде ca-сертификаттары сияқты пакеттер әрқашан жаңартылмайды. Сайып келгенде, бәрі реттелген сияқты, бірақ мұнда және мұнда бірдеңе жұмыс істемейді.
1-суреттен, басым көпшілігі үшін бәрі әдеттегідей көрінгенімен, біреу үшін бірдеңе бұзылып, трафик айтарлықтай төмендегені (сол жақ қызыл сызық), содан кейін негізгі куәліктердің бірі ауыстырылған кезде (оң жақ сызық) өскені анық. Басқа сертификаттар өзгерген кезде, бірдеңе тәуелді болатын ортасында жарылыстар болды. Көпшілігі көрнекі түрде азды-көпті жүйелі түрде жұмыс істеуді жалғастырғандықтан (Habrastorage-ге суреттерді жүктеп салу мүмкін еместігі сияқты оғаш ақауларды қоспағанда), біз Habré-дегі бұрынғы клиенттер мен боттардың саны туралы жанама қорытынды жасай аламыз.
Сурет 1. Хабредегі «трафик» графигі.
2-суретте браузерлердің ағымдағы нұсқаларында, тіпті тізбекте «шіріген» сертификат болса да, пайдаланушы браузеріндегі сенімді CA сертификатына «балама» тізбек қалай салынғаны көрсетілген. Бұл, Сектигоның өзі сенгендей, ештеңе жасамаудың себебі.
Сурет 2. Заманауи шолғыш нұсқасы үшін сенімді сертификатқа тізбек.
Бірақ 3-суретте бірдеңе дұрыс емес болғанда және бізде бұрынғы жүйе болған кезде бәрі шынымен қалай көрінетінін көре аласыз. Бұл жағдайда HTTPS қосылымы орнатылмаған және біз «сертификат тексеру сәтсіз аяқталды» немесе ұқсас қатені көреміз.
Сурет 3. Тізбек жарамсыз деп танылды, себебі түбірлік куәлік және оның қолы қойылған аралық «шірік» болды.
4-суретте біз бұрынғы жүйелерге арналған «шешімді» көріп отырмыз: басқа аралық сертификат, дәлірек айтсақ, әдетте бұрынғы жүйелерде алдын ала орнатылған басқа CA-ның «кросс-қолтаңбасы» бар. Бұл сізге қажет: осы сертификатты тауып алыңыз (ол Қосымша жүктеу деп белгіленген) және онымен «шіріген» ауыстырыңыз.
Сурет 4. Бұрынғы жүйелер үшін балама тізбек.
Айтпақшы: мәселе кең танымалдылыққа және қоғамдық талқылауға ие болмады, соның ішінде Сектигоның шамадан тыс мақтанышына байланысты. Мысалы, мұнда сертификат провайдерлерінің бірінің пікірі бұл жағдайға:
Бұрын олар [Sectigo] ешбір мәселе болмайтынына барлығын сендірді. Дегенмен, шындық кейбір бұрынғы серверлерге/құрылғыларға әсер етеді.
Бұл күлкілі жағдай. Біз олардың назарын бір жыл ішінде бірнеше рет мерзімі өтіп жатқан AddTrust RSA/ECC-ке аудардық және әр жолы Sectigo бізге ешқандай мәселе болмайды деп сендірді.
Мен жеке сұрадым бұл туралы бір ай бұрын Stack Overflow сайтында, бірақ жобаның аудиториясы мұндай сұрақтарға онша қолайлы емес сияқты, сондықтан мен оған талдаудан кейін жауап беруге тура келді.
Сектиго Бұл тақырып бойынша жиі қойылатын сұрақтар бар, бірақ ол оқылмайтын және ұзақ болғандықтан оны пайдалану мүмкін емес. Міне, бүкіл басылымның квинтэссенциясы болып табылатын дәйексөз:
Сіз не істеуіңіз керек
Көптеген пайдалану жағдайлары үшін, соның ішінде заманауи клиенттік немесе серверлік жүйелерге қызмет көрсететін сертификаттар үшін, AddTrust түбіріне айқас тізбектелген сертификаттарды шығарғаныңызға қарамастан, ешқандай әрекет қажет емес.30 сәуірдегі жағдай бойынша: Өте ескі жүйелерге тәуелді бизнес-процестер үшін Sectigo қол жетімді (сертификат жинақтарында әдепкі бойынша) айқаспалы қол қоюға арналған жаңа бұрынғы түбірді, «AAA сертификат қызметтері» түбірін қол жетімді етті. Дегенмен, өте ескі жүйеге тәуелді кез келген процесте өте сақ болыңыз. Sectigo-ның COMODO түбірі сияқты жаңа түбірлерді қолдау үшін қажетті жаңартуларды алмаған жүйелерде міндетті түрде басқа маңызды қауіпсіздік жаңартулары жоқ болады және оларды қауіпті деп санау керек. Егер сіз әлі де AAA Certificate Services түбіріне айқаспалы кіруді қаласаңыз, Sectigo компаниясына тікелей хабарласыңыз.
Маған «өте ескі» тезис өте ұнайды, әрине. Мысалы, Ubuntu Linux 18.04 LTS консолінде (қазіргі біздің негізгі ОЖ) бір айдан аспайтын соңғы жаңартулары бар curl, өте ескі деп айту қиын, бірақ ол жұмыс істемейді.
Сертификаттау дистрибьюторларының көпшілігі шешім жазбаларын 30 мамырда түстен кейін шығарды. Мысалы, техникалық жағынан өте қолайлы (не істеу керектігінің нақты сипаттамасымен және zip мұрағаттарындағы дайын CA-бумалары бар, бірақ тек RSA):
Сурет 5. Заттарды тез түзетуге арналған жеті қадам.
бар Redhat-тен, бірақ Legacy барған сайын көбейіп келеді және бәрі жұмыс істеуі үшін Comodo-дан одан да көп түбірлік мұра сертификатын орнату керек.
шешім
Бұл жерде де шешімді қайталаған жөн. Төменде сертификаттарға арналған екі тізбектер жинағы берілген DV Sectigo (Comodo емес!), бірі таныс RSA сертификаттары үшін, екіншісі азырақ таныс ECC (ECDSA) сертификаттары үшін (біз екі тізбекті ұзақ уақыт бойы қолданып келеміз). ECC көмегімен бұл қиынырақ болды, өйткені шешімдердің көпшілігінде олардың төмен таралуына байланысты мұндай сертификаттардың болуы ескерілмейді. Нәтижесінде қажетті аралық сертификат табылды .
Кілттік алгоритм негізіндегі сертификаттар тізбегі RSA. Тізбекпен салыстырыңыз және тек төменгі сертификат ауыстырылғанын, ал жоғарғысы өзгеріссіз қалғанын ескеріңіз. Мен оларды үйде «тең» таңбаны есептемегенде, base64 блоктарының соңғы үш таңбасымен ажыратамын (бұл жағдайда En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Кілттік алгоритм негізіндегі сертификаттар тізбегі ECC. RSA тізбегі сияқты, тек төменгі сертификат ауыстырылды, ал жоғарғысы өзгеріссіз қалды (бұл жағдайда fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----
MIIDqDCCAy6gAwIBAgIRAPNkTmtuAFAjfglGvXvh9R0wCgYIKoZIzj0EAwMwgYgx
CzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5MRQwEgYDVQQHEwtKZXJz
ZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBOZXR3b3JrMS4wLAYDVQQD
EyVVU0VSVHJ1c3QgRUNDIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MB4XDTE4MTEw
MjAwMDAwMFoXDTMwMTIzMTIzNTk1OVowgY8xCzAJBgNVBAYTAkdCMRswGQYDVQQI
ExJHcmVhdGVyIE1hbmNoZXN0ZXIxEDAOBgNVBAcTB1NhbGZvcmQxGDAWBgNVBAoT
D1NlY3RpZ28gTGltaXRlZDE3MDUGA1UEAxMuU2VjdGlnbyBFQ0MgRG9tYWluIFZh
bGlkYXRpb24gU2VjdXJlIFNlcnZlciBDQTBZMBMGByqGSM49AgEGCCqGSM49AwEH
A0IABHkYk8qfbZ5sVwAjBTcLXw9YWsTef1Wj6R7W2SUKiKAgSh16TwUwimNJE4xk
IQeV/To14UrOkPAY9z2vaKb71EijggFuMIIBajAfBgNVHSMEGDAWgBQ64QmG1M8Z
wpZ2dEl23OA1xmNjmjAdBgNVHQ4EFgQU9oUKOxGG4QR9DqoLLNLuzGR7e64wDgYD
VR0PAQH/BAQDAgGGMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYDVR0lBBYwFAYIKwYB
BQUHAwEGCCsGAQUFBwMCMBsGA1UdIAQUMBIwBgYEVR0gADAIBgZngQwBAgEwUAYD
VR0fBEkwRzBFoEOgQYY/aHR0cDovL2NybC51c2VydHJ1c3QuY29tL1VTRVJUcnVz
dEVDQ0NlcnRpZmljYXRpb25BdXRob3JpdHkuY3JsMHYGCCsGAQUFBwEBBGowaDA/
BggrBgEFBQcwAoYzaHR0cDovL2NydC51c2VydHJ1c3QuY29tL1VTRVJUcnVzdEVD
Q0FkZFRydXN0Q0EuY3J0MCUGCCsGAQUFBzABhhlodHRwOi8vb2NzcC51c2VydHJ1
c3QuY29tMAoGCCqGSM49BAMDA2gAMGUCMEvnx3FcsVwJbZpCYF9z6fDWJtS1UVRs
cS0chWBNKPFNpvDKdrdKRe+oAkr2jU+ubgIxAODheSr2XhcA7oz9HmedGdMhlrd9
4ToKFbZl+/OnFFzqnvOhcjHvClECEQcKmc8fmA==
-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Бұл өте көп. Назарларыңызға рахмет.
Ақпарат көзі: www.habr.com