AddTrust 루트 인증서 사용 중단으로 인해 OpenSSL 및 GnuTLS 시스템에서 충돌 발생

30월 20일 루트인증서 유효기간 XNUMX년이 만료되었습니다. 추가 신뢰어느 적용된 가장 큰 인증 기관 중 하나인 Sectigo(Comodo)의 교차 서명된 인증서를 생성합니다. 루트 인증서 저장소에 새로운 USERTRust 루트 인증서가 추가되지 않은 레거시 장치와의 호환성을 위해 교차 서명이 허용되었습니다.

이론적으로 AddTrust 루트 인증서를 종료하면 교차 서명에 사용된 두 번째 루트 인증서가 남아 있으므로 레거시 시스템(Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 등)과의 호환성 위반만 발생해야 합니다. 유효한 최신 브라우저는 신뢰 체인을 확인할 때 이를 고려합니다. 연습 중 나타났다 OpenSSL 1.0.x 및 GnuTLS 기반 클라이언트를 포함하여 브라우저가 아닌 TLS 클라이언트의 교차 서명 확인 문제입니다. 서버가 신뢰 체인을 통해 AddTrust 루트 인증서에 연결된 Sectigo 인증서를 사용하는 경우 인증서가 오래되었음을 나타내는 오류와 함께 보안 연결이 더 이상 설정되지 않습니다.

최신 브라우저 사용자가 교차 서명된 Sectigo 인증서를 처리할 때 AddTrust 루트 인증서가 더 이상 사용되지 않는다는 사실을 알아차리지 못한 경우 다양한 타사 응용 프로그램과 서버 측 처리기에서 문제가 나타나기 시작했습니다. 위반 일 구성 요소 간의 상호 작용을 위해 암호화된 통신 채널을 사용하는 많은 인프라.

예를 들어, 문제 Debian 및 Ubuntu의 일부 패키지 저장소에 액세스하면(인증서 확인 오류가 발생하기 시작함) "curl" 및 "wget" 유틸리티를 사용하는 스크립트의 요청이 실패하기 시작했으며 Git을 사용할 때 오류가 관찰되었습니다. 위반하다 Roku 스트리밍 플랫폼이 작동하고 핸들러가 더 이상 호출되지 않습니다. 스트라이프 и 데이터 도그, 시작 충돌이 발생하다 Heroku 앱에서는 중지 OpenLDAP 클라이언트가 연결되면 STARTTLS를 사용하여 SMTPS 및 SMTP 서버로 메일을 보낼 때 발생하는 문제가 감지됩니다. 또한 http 클라이언트와 함께 모듈을 사용하는 다양한 Ruby, PHP 및 Python 스크립트에서 문제가 관찰됩니다. 브라우저 문제 영향을 미치다 광고 차단 목록 로드를 중단한 Epiphany.

Go 프로그램은 이 문제의 영향을 받지 않습니다. 자체 구현 TLS.

추정되었다이 문제는 이전 배포 릴리스(Debian 9, Ubuntu 16.04, RHEL 6/7) 문제가 있는 OpenSSL 분기를 사용하지만 문제는 그 자체로 나타났다 APT가 GnuTLS 라이브러리를 사용하기 때문에 Debian 10 및 Ubuntu 18.04/20.04의 현재 릴리스에서 APT 패키지 관리자가 실행 중인 경우에도 마찬가지입니다. 문제의 핵심은 많은 TLS/SSL 라이브러리가 인증서를 선형 체인으로 구문 분석하는 반면, RFC 4158에 따르면 인증서는 고려해야 할 여러 트러스트 앵커가 있는 방향성 분산 원형 그래프를 나타낼 수 있다는 것입니다. OpenSSL 및 GnuTLS의 이 결함 정보 있었다 알려진다 몇 년 동안. OpenSSL에서 문제는 브랜치 1.1.1에서 수정되었으며 gnuTLS 남아있다 교정되지 않은.

이 문제를 해결하려면 시스템 저장소에서 "AddTrust 외부 CA 루트" 인증서를 제거하는 것이 좋습니다(예: /etc/ca-certificates.conf 및 /etc/ssl/certs에서 제거한 다음 "update-ca 실행). -certificates -f -v"), 이후 OpenSSL은 일반적으로 참여와 함께 교차 서명된 인증서를 처리하기 시작합니다. APT 패키지 관리자를 사용할 때 위험 부담은 개별 요청에 대한 인증서 확인을 비활성화할 수 있습니다(예: "apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false"). .

문제를 차단하려면 페도라 и RHEL 블랙리스트에 AddTrust 인증서를 추가하는 것이 제안됩니다:

trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
업데이트-ca-신뢰 추출

하지만 이 방법은 효과가 없다 GnuTLS의 경우(예를 들어 wget 유틸리티를 실행할 때 인증서 확인 오류가 계속 나타남)

서버 측에서는 다음을 수행할 수 있습니다. 변화하다 손질 서버가 클라이언트에 보낸 신뢰 체인의 인증서 나열("AddTrust 외부 CA 루트"와 관련된 인증서가 목록에서 제거되면 클라이언트의 확인이 성공합니다). 새로운 신뢰 체인을 확인하고 생성하려면 서비스를 사용할 수 있습니다. whatsmychaincert.com. 섹티고도 предоставила 대체 교차 서명된 중간 인증서 "AAA 인증서 서비스"는 2028년까지 유효하며 이전 버전의 OS와의 호환성을 유지합니다.

추가 : 문제도 명시된 LibreSSL에서.

출처 : opennet.ru