Roja Şemiyê, 30ê Gulana 2020-an, pirsgirêkek ne tavilê zelal bi sertîfîkayên SSL / TLS yên populer ên ji firoşkarê Sectigo (berê Comodo) derket. Sertîfîka bi xwe berdewam di rêza bêkêmasî de bûn, lêbelê, yek ji sertîfîkayên CA-ya navîn di zincîreyên ku van sertîfîkayan pê re hatine peyda kirin xera bû. Rewş ne ew e ku meriv bêje kujer, lê ne xweş e: guhertoyên heyî yên gerokan tiştek ferq nekir, di heman demê de, piraniya otomatîk û gerokên kevn / OS ji bo zivirînek wusa ne amade bûn.
Habr ne îstîsna bû, ji ber vê yekê ev bernameya perwerdehiyê / postmortem hate nivîsandin.
TL; DR Çareserî di dawiyê de.
Werin em teoriya bingehîn di derbarê PKI, SSL / TLS, https û hêj bêtir de derbas bikin. Mekanîzmaya verastkirinê bi sertîfîkayek ewlehiyê ya domainê ev e ku meriv zincîrek ji hejmarek sertîfîkayan ji yek ji wan ên ku ji hêla gerok an pergala xebitandinê ve pêbawer in, ku di nav navê Trust Store de têne hilanîn, ava bike. Ev navnîş bi pergala xebitandinê, ekosîstema dema xebitandina kodê, an gerokê re tê belav kirin. Her sertîfîkayek xwedî dîrokek qedandinê ye ku piştî wê ew nebawer têne hesibandin, tevî sertîfîkayên di firotgeha pêbaweriyê de. Beriya roja çarenûsî zincîra pêbaweriyê çawa xuya dikir? Karûbarek webê dê ji me re bibe alîkar ku em wê fêm bikin ji Qualys.
Ji ber vê yekê, yek ji sertîfîkayên "bazirganî" yên herî populer Sectigo Positive SSL e (berê Comodo Positive SSL, sertîfîkayên bi vî navî hîn jî têne bikar anîn), ew bi navê belgeya DV-ê ye. DV asta herî pêşîn a pejirandinê ye, tê wateya verastkirina gihîştina rêveberiya domainê ji hêla belavkerê sertîfîkayek wusa ve. Bi rastî, DV ji bo "erêkirina domainê" radiweste. Ji bo referansê: OV (pejirandina rêxistinê) û EV (erêkirina dirêjkirî) jî heye, û sertîfîkayek belaş ji Let's Encrypt jî DV ye. Ji bo kesên ku ji ber hin sedeman ji mekanîzmaya ACME ne razî ne, hilbera SSL-ya pozîtîf di warê biha / taybetmendiyan de ya herî maqûl e (sertîfîkayek yek-domînê salê bi qasî 5-7 dolar lêçûn bi tevahî heyama derbasdariya sertîfîkayê zêde ye. heta 2 sal û 3 meh).
Sertîfîkaya Giştî ya Sectigo DV (RSA) heya vê dawiyê bi vê zincîra CA-yên navîn re dihat:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityTu "sertîfîkaya sêyem", ku xwe ji AddTrust AB-ê hatî îmzekirin, tune ye, ji ber ku di demekê de ew bi şêwazek xirab hate hesibandin ku sertîfîkayên root yên xwe-îmzakirî di zincîran de bihewîne. Têbînî ku CA-ya navîn a ku ji hêla AddTrust's UserTrust ve hatî derxistin 30-ê Gulana 2020-an heye. Ev ne hêsan e, ji ber ku ji bo vê CA prosedurek hilweşandinê hate plan kirin. Dihat bawer kirin ku heya 30ê Gulana 2020-an, sertîfîkayek ji UserTrust-ê ya xaça-îmzakirî dê di vê demê de li hemî firotgehên pêbaweriyê xuya bibe (di bin serpêhatiyê de, ev heman sertîfîka ye, an bêtir mifteyek gelemperî ye) û zincîre, tewra bi sertîfîkaya ku jixwe ne pêbawer tê de ye, dê rêyên alternatîf ava bike û kes guh nade. Lêbelê, planan di rastiyê de, ango peyva dirêj "pergalên mîras" têk çûn. Bi rastî, xwedan guhertoyên heyî yên gerokan tiştek ferq nekir, lêbelê, çiyayê otomasyonê ku li ser pirtûkxaneyên curl û ssl / tls yên hejmarek zimanên bernamekirinê û hawîrdorên darvekirina kodê hatî çêkirin şikand. Pêdivî ye ku were fêm kirin ku gelek hilber ne ji hêla amûrên avakirina zincîra ku di OS-ê de hatine çêkirin têne rêve kirin, lê dikana pêbaweriya xwe bi wan re "hilgirin". Û ew her gav tiştê ku ew dixwazin bibînin dihewîne. . Û di Linux de, pakêtên mîna ca-sertîfîkayên her gav nayên nûve kirin. Di dawiyê de, xuya dike ku her tişt bi rêkûpêk e, lê tiştek li vir û wir naxebite.
Ji jimar 1, diyar e ku her çend her tişt ji bo piraniyek mezin normal xuya dikir, tiştek ji bo kesek şikest û seyrûsefer bi baldarî daket (xeta sor a çepê), dûv re dema ku yek ji sertîfîkayên sereke hate guheztin (xêza rast) mezin bû. Dema ku sertîfîkayên din hatin guhertin, di navberê de teqîn çêbûn, ku tiştek jî pê ve girêdayî bû. Ji ber ku ji bo piraniyê her tişt bi dîtbarî kêm-zêde bi rêkûpêk xebata xwe didomand (ji xeynî xeletiyên xerîb ên wekî nemimkûniya barkirina wêneyan li Habrastorage), em dikarin di derheqê hejmara xerîdarên mîras û botên li ser Habré de encamek nerasterast bikin.
Wêne 1. Grafika "trafîkê" li ser Habré.
Wêneyê 2 nîşan dide ku di guhertoyên heyî yên gerokan de zincîreyek "alternatîf" çawa ji sertîfîkayek CA-ya pêbawer a di geroka bikarhêner de tê çêkirin, hetta di zincîrê de sertîfîkayek "xirab" hebe. Ev, wekî ku Sectigo bixwe bawer dikir, sedemek pir e ku meriv tiştek neke.
Wêne 2. Ji bo guhertoyek gerokek nûjen bi sertîfîkayek pêbawer ve zincîre bikin.
Lê di jimar 3 de, hûn dikarin bibînin ka her tişt bi rastî çawa xuya dike dema ku tiştek xelet derket û me pergalek mîras heye. Di vê rewşê de, pêwendiya HTTPS nehatiye saz kirin û em xeletiyek wekî "pejirandina sertîfîkayê têk çû" an jî mîna wan dibînin.
Xiflteya 3. Ji ber ku sertîfîkaya root û ya navberê ya ku jê re hatiye îmzekirin "xirab" bûn, zincîre betal bû.
Di Xiflteya 4-ê de, em jixwe ji bo pergalên mîras "çareseriyek" dibînin: sertîfîkayek din a navbeynkar heye, an bêtir "nîşanek xaç" ji CA-ya din, ku bi gelemperî di pergalên mîras de ji berê ve hatî saz kirin. Ya ku divê hûn bikin ev e: vê sertîfîkayê (ya ku wekî dakêşana Zêde tê nîşankirin) bibînin û ya "xirab" bi wê re biguhezînin.
Xiflteya 4. Ji bo pergalên mîrasê zincîra alternatîf.
Bi awayê: pirsgirêk ne xwediyê reklamek berfireh û cûreyek nîqaşek gelemperî bû, di nav de ji ber quretiya zêde ya Sectigo. Mînakî, li vir nêrîna yek ji pêşkêşkerên sertîfîkayê heye ji bo vê rewşê:
Berê wan [Sectigo] Ji her kesî re piştrast kir ku dê ti pirsgirêk nebin. Lêbelê, rastî ev e ku hin servers / cîhazên mîras têne bandor kirin.
Ew rewşek pêkenok e. Me bala wan kişand ser AddTrust RSA/ECC-ya ku di nav salekê de qediya ye û her carê ku Sectigo ji me re piştrast kir ku dê ti pirsgirêk nebin.
Min bi xwe pirsî li ser Stack Overflow li ser vê yekê mehek berê, lê xuya ye, temaşevanên projeyê ji bo pirsên weha ne pir maqûl in, ji ber vê yekê min neçar ma ku piştî analîzê bixwe bersiv bidim.
Sectigo Li ser vê mijarê Pirs û Pirs hene, lê ew qas nayê xwendin û dirêj e ku ne gengaz e ku meriv bikar bîne. Li vir gotinek e ku quintessenca tevahiya weşanê ye:
Ya ku Hûn Pêdivî ye Ku Hûn Bikin
Ji bo pir rewşên karanîna, tevî sertîfîkayên ku ji pergalên xerîdar an serverê yên nûjen re xizmet dikin, çu çalakî ne hewce ye, gelo we sertîfîkayên ku bi zincîra AddTrust-ê ve girêdayî ne hatine weşandin.Ji 30ê Nîsana 2020-an ve: Ji bo pêvajoyên karsaziyê yên ku bi pergalên pir kevn ve girêdayî ne, Sectigo (ji hêla xwerû di pakêtên sertîfîkayê de) ji bo îmzakirina xaçerê, koka "Xizmetên Sertîfîkaya AAA"-ya mîrata nû peyda kiriye. Lêbelê, ji kerema xwe di derbarê her pêvajoyek ku bi pergalên mîrateya pir kevn ve girêdayî ye hişyariyek pir bikar bînin. Pergalên ku nûvekirinên ku ji bo piştgirîkirina rokên nûtir ên wekî root COMODO ya Sectigo hewce ne werdigirin, bê guman dê nûvekirinên ewlehiyê yên din ên bingehîn winda bikin û divê wekî neewle bêne hesibandin. Heke hûn hîn jî dixwazin ku bi koka Karûbarên Sertîfîkaya AAA-ê re derbas bibin, ji kerema xwe rasterast bi Sectigo re têkilî daynin.
Ez ji teza "pir kevn" pir hez dikim, bê guman. Mînakî, di konsola Ubuntu Linux 18.04 LTS (OS-ya meya bingehîn a vê gavê de) bi nûvekirinên herî paşîn ên ku ji mehekê ne kevintir e, bizivirin, dijwar e ku meriv pir kevn jê re bibêje, lê ew naxebite.
Piraniya belavkerên sertîfîkayê notên biryara xwe di derengiya nîvro ya 30ê Gulanê de berdan. Mînakî, di warê teknîkî de pir maqûl ji (bi danasînek taybetî ya ku meriv çi bike û bi pakêtên CA-yê yên amade di arşîvên zip de, lê tenê RSA):
Figure 5. Heft gavên ji bo tamîrkirina tiştan zû.
Ð • n, Nûh * de ji Redhat, lê her ku diçe bêtir Legacy heye û ji bo ku her tişt bixebite hûn hewce ne ku ji Comodo sertîfîkayek mîrateya root hîn bêtir saz bikin.
biryar
Li vir jî hêja ye ku çareseriyê dubare bike. Li jêr du zincîrên ji bo sertîfîkayan hene DV Sectigo (ne Comodo!), Yek ji bo sertîfîkayên naskirî yên RSA, ya din ji bo sertîfîkayên kêmtir naskirî yên ECC (ECDSA) (em ji demek dirêj ve du zincîran bikar tînin). Bi ECC re, ew dijwartir bû, ji ber ku pir çareserî hebûna sertîfîkayên weha ji ber belavbûna wan kêm nahesibînin. Di encamê de, sertîfîkaya navîn a pêwîst li ser hate dîtin .
Zincîra ji bo sertîfîkayan li ser bingeha algorîtmaya sereke RSA. Bi zincîra xwe re bidin hev û bala xwe bidin ku tenê sertîfîkaya jêrîn hate guheztin, lê ya jorîn wekî xwe maye. Ez wan li malê bi sê karakterên paşîn ên blokên bingehîn64 veqetînim, karaktera "wekhev" nahesibînim (di vê rewşê de En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Zincîra ji bo sertîfîkayan li ser bingeha algorîtmaya sereke ECC. Bi heman rengî digel zincîra ji bo RSA, tenê sertîfîkaya jêrîn hate guheztin, dema ku ya jorîn wekî xwe ma (di vê rewşê de fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Ew pir zêde ye. Spas ji bo baldariya we.
Source: www.habr.com