Ишемби күнү, 30-жылдын 2020-майында, Sectigo (мурдагы Comodo) сатуучусунун популярдуу SSL/TLS сертификаттары менен дароо так эмес көйгөй пайда болду. Сертификаттардын өзүлөрү кемчиликсиз тартипте боло беришкен, бирок бул сертификаттар берилген чынжырлардагы орто аралык CA сертификаттарынын бири чирип калган. Кырдаал өлүмгө дуушар эмес, бирок жагымсыз: браузерлердин учурдагы версиялары эч нерсени байкаган жок, бирок автоматташтыруу жана эски браузерлер/ОСтун көпчүлүгү мындай бурулушка даяр эмес болчу.
Хабр да четте калган жок, ошондуктан бул билим берүү программасы / постмортем жазылган.
TL; DR Чечим эң аягында.
Келгиле, PKI, SSL/TLS, https ж.б. жөнүндө негизги теорияны өткөрүп жиберели. Домендин коопсуздук сертификаты менен аутентификациянын механикасы Trust Store деп аталган жерде сакталган браузер же операциялык система тарабынан ишенимдүү болгон бир катар сертификаттардын чынжырын түзүүдөн турат. Бул тизме операциялык система, иштөө убактысынын экосистемасы же браузер менен бөлүштүрүлөт. Ар кандай сертификаттардын жарактуулук мөөнөтү бар, андан кийин алар ишенимсиз деп эсептелет, анын ичинде ишенимдүү дүкөндөгү сертификаттар. Каргашалуу күнгө чейин ишеним чынжыр кандай болгон? Веб утилитасы аны түшүнүүгө жардам берет. Qualys тартып.
Ошентип, эң популярдуу "коммерциялык" сертификаттардын бири - Sectigo Positive SSL (мурда Comodo Positive SSL деп аталган, ушул аталыштагы сертификаттар дагы деле колдонулууда), ал DV сертификаты деп аталган. DV сертификаттын эң примитивдүү деңгээли болуп саналат, ал мындай сертификаттын эмитенти үчүн доменди башкаруу мүмкүнчүлүгүн текшерүүнү билдирет. Чынында, DV "доменди текшерүү" дегенди билдирет. Маалымат үчүн: ошондой эле OV (уюмду текшерүү) жана EV (кеңейтилген валидация) бар, ошондой эле Let's Encrypt компаниясынын акысыз сертификаты DV болуп саналат. Кандайдыр бир себептерден улам ACME механизмине канааттанбагандар үчүн Positive SSL продукты баа/функциялардын катышы боюнча эң ылайыктуу (бир домендик сертификат жылына болжол менен $5-7 турат, сертификаттын жалпы мөөнөтү чейин 2 жыл 3 ай).
Жакынкы убакка чейин стандарттык Sectigo DV (RSA) сертификаты төмөнкү аралык CA тизмеги менен камсыз болгон:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityAddTrust AB тарабынан өз алдынча кол коюлган "үчүнчү сертификат" жок, анткени кайсы бир убакта чынжырларга өз алдынча кол коюлган тамыр сертификаттарын кошуу жаман адаттар болуп саналган. UserTrust тарабынан AddTrust тарабынан чыгарылган ортодогу CAнын жарактуулук мөөнөтү 30-жылдын 2020-майында экенин белгилей аласыз. Бул оңой эмес, анткени бул CA үчүн эксплуатациядан чыгаруу процедурасы пландаштырылган. 30-жылдын 2020-майына карата UserTrust'тун кайчылаш кол коюлган сертификаты ушул убакка чейин бардык ишенимдүү дүкөндөрдө пайда болот (капутун астында ал бир эле сертификат, тагыраак айтканда, ачык ачкыч) жана чынжыр, атүгүл буга чейин ишенбеген күбөлүк камтылган, башка жолдорду курууга ээ жана аны эч ким байкабайт. Бирок, пландар реалдуулук менен, тактап айтканда, бүдөмүк термин “мурас системалары” тарабынан бузулду. Чынында эле, браузерлердин учурдагы версияларынын ээлери эч нерсени байкашкан жок, бирок бир катар программалоо тилдеринин curl жана ssl/tls китепканаларында курулган автоматташтыруу тоосу жана кодду аткаруу чөйрөлөрү бузулду. Сиз көптөгөн өнүмдөрдүн OS ичине орнотулган чынжыр куруу куралдарын жетектемей турганын түшүнүшүңүз керек, бирок алар менен ишеним дүкөнүн "көтөрүп жүрүшөт". Жана алар дайыма сиз көргүңүз келген нерсени камтый бербейт . Ал эми Linux'та ca-сертификаттар сыяктуу пакеттер дайыма эле жаңыртыла бербейт. Акыр-аягы, баары өз ордунда окшойт, бирок бул жерде бир нерсе иштебейт.
1-сүрөттөн көрүнүп тургандай, басымдуу көпчүлүгү үчүн баары кадимкидей көрүнсө да, кээ бирлери үчүн бир нерсе бузулуп, жол кыймылы байкаларлык азайган (сол кызыл сызык), андан кийин негизги сертификаттардын бири алмаштырылганда (оң сызык) өскөн. Ортодо дагы бир нерсе көз каранды болгон башка күбөлүктөрдү өзгөрткөндө тиштери болгон. Көпчүлүк үчүн бардыгы визуалдык түрдө аздыр-көптүр иштей бергендиктен (Habrastorageге сүрөттөрдү жүктөө мүмкүн эместиги сыяктуу кызыктай мүчүлүштүктөрдү эске албаганда), биз Habrдагы эски кардарлардын жана боттордун саны жөнүндө кыйыр жыйынтык чыгарсак болот.
Сүрөт 1. Хабредеги трафиктин графиги.
2-сүрөттөн сиз браузерлердин учурдагы версияларында чынжырда "чириген" сертификат бар болсо да, колдонуучунун браузериндеги ишенимдүү CA сертификатына "альтернативдик" чынжыр кандайча курулганына баа бере аласыз. Бул, Sectigo өзү ишенгендей, эч нерсе кылбоо үчүн негиз болгон.
Сүрөт 2. Браузердин заманбап версиясынын ишенимдүү сертификатына чынжырча.
Бирок 3-сүрөттө бир нерсе туура эмес болуп калганда баары чындыгында кандай болорун жана бизде эски система бар экенин көрө аласыз. Бул учурда, HTTPS туташуусу орнотулган эмес жана биз "сертификат текшерилбей калды" же ушул сыяктуу катаны көрөбүз.
3-сүрөт. Чынжыр жараксыз деп табылган, анткени түпкү сертификат жана анын колу коюлган аралык күбөлүк "чириген".
4-сүрөттө биз мурунтан эле эски системалар үчүн "чечимди" көрүп жатабыз: башка ортолук сертификат, тагыраак айтканда, башка CAдан "кайчылаш кол тамга" бар, ал адатта эски системаларда алдын ала орнотулган. Сиз эмне кылышыңыз керек: бул сертификатты табыңыз (ал Кошумча жүктөө деп белгиленген) жана "чириген" аны менен алмаштырыңыз.
Сүрөт 4. Мурдагы системалар үчүн альтернативдик чынжыр.
Айтмакчы: көйгөй кеңири коомчулукка же коомдук талкууга, анын ичинде Sectigo ашыкча текебердигине байланыштуу болгон эмес. Бул жерде, мисалы, сертификат берүүчүлөрдүн биринин пикири бул жагдайга:
Мурда алар [Sectigo] эч кандай маселе болбойт деп кепилдик берген ар бир адам. Бирок, чындык кээ бир эски серверлер/түзмөктөр таасир этет.
Бул күлкүлүү жагдай. Биз алардын көңүлүн бир жылдын ичинде мөөнөтү өтүп жаткан AddTrust RSA/ECCге бир нече жолу көрсөттүк жана ар бир жолу Sectigo бизди эч кандай маселе болбойт деп ишендирди.
Мен жеке сурадым Бул тууралуу бир ай мурун Stack Overflow сайтында, бирок, сыягы, долбоордун аудиториясы мындай суроолорго анча ылайыктуу эмес, андыктан талдоодон кийин өзүм жооп беришим керек болчу.
Sectigo Бул тууралуу көп берилүүчү суроолор бар, бирок ал ушунчалык окулбайт жана узак болгондуктан, аны колдонуу мүмкүн эмес. Бул жерде бүтүндөй басылманын квинтэссенциясы болгон цитата:
Эмне кылуу керек
Көпчүлүк учурларда, анын ичинде заманбап кардар же сервер системаларын тейлеген сертификаттар үчүн, сиз AddTrust тамырына кайчылаш чынжырланган тастыктамаларды бергениңизге же бербегениңизге карабастан, эч кандай аракет талап кылынбайт.30-жылдын 2020-апрелине карата: Абдан эски системалардан көз каранды болгон бизнес процесстери үчүн Sectigo (сертификат топтомдорунда демейки боюнча) кайчылаш кол коюу үчүн жаңы мурастык тамырды, "AAA Сертификат Кызматтары" тамырын жеткиликтүү кылды. Бирок, сураныч, өтө эски системаларга көз каранды болгон процесстерге өтө этият болуңуз. Sectigo's COMODO тамыры сыяктуу жаңы тамырларды колдоо үчүн зарыл болгон жаңыртууларды албаган системалар сөзсүз түрдө башка маанилүү коопсуздук жаңыртууларын албай калат жана кооптуу деп эсептелиши керек. Эгерде сиз дагы эле AAA Certificate Services тамырына кайчылаш кол коюуну кааласаңыз, Sectigo менен түз байланышыңыз.
Мен, албетте, "абдан эски" тезисти жакшы көрөм. Мисалы, Ubuntu Linux 18.04 LTS консолундагы curl (учурда биздин базалык ОС) бир айдан ашпаган акыркы жаңыртуулар менен абдан эски деп айтууга болбойт, бирок ал иштебейт.
Сертификаттарды таратуучулардын көбү 30-майда түштөн кийин чечим жазууларын чыгарышты. Мисалы, техникалык жактан абдан ылайыктуу (эмне кылуунун конкреттүү сүрөттөлүшү жана zip архивдеринде даяр CA-топтомдору менен, бирок RSA гана):
Сүрөт 5. Баарын тез оңдоо үчүн жети кадам.
бар Redhat'тан, бирок баары көбүрөөк Legacy болуп саналат жана баары иштеши үчүн Comodo'дон дагы көбүрөөк тамыр мурас сертификатын орнотуу керек.
чечим
Бул жерде да чечимди кайталоо керек. Төмөндө сертификат чынжырларынын эки топтому бар DV Sectigo (Comodo эмес!), бири кадимки RSA сертификаттары үчүн, экинчиси анча тааныш эмес ECC (ECDSA) сертификаттары үчүн (биз эки чынжырды бир топ убакыттан бери колдонуп келебиз). ECC менен бул кыйыныраак болду, анткени чечимдердин көбү аз таралгандыктан, мындай сертификаттардын бар экенин эске алышпайт. Натыйжада, талап кылынган ортолук күбөлүк табылган .
Негизги алгоритмге негизделген сертификаттар чынжырчасы RSA. Чынжырыңыз менен салыштырыңыз жана төмөнкү тастыктама гана алмаштырылганын, ал эми үстү ошол эле бойдон калганын байкаңыз. Мен аларды күнүмдүк шарттарда "тең" белгисин эсепке албаганда, base64 блоктордун акыркы үч символу менен айырмалайм (бул учурда En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----
MIIGEzCCA/ugAwIBAgIQfVtRJrR2uhHbdBYLvFMNpzANBgkqhkiG9w0BAQwFADCB
iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0pl
cnNleSBDaXR5MR4wHAYDVQQKExVUaGUgVVNFUlRSVVNUIE5ldHdvcmsxLjAsBgNV
BAMTJVVTRVJUcnVzdCBSU0EgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTgx
MTAyMDAwMDAwWhcNMzAxMjMxMjM1OTU5WjCBjzELMAkGA1UEBhMCR0IxGzAZBgNV
BAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4GA1UEBxMHU2FsZm9yZDEYMBYGA1UE
ChMPU2VjdGlnbyBMaW1pdGVkMTcwNQYDVQQDEy5TZWN0aWdvIFJTQSBEb21haW4g
VmFsaWRhdGlvbiBTZWN1cmUgU2VydmVyIENBMIIBIjANBgkqhkiG9w0BAQEFAAOC
AQ8AMIIBCgKCAQEA1nMz1tc8INAA0hdFuNY+B6I/x0HuMjDJsGz99J/LEpgPLT+N
TQEMgg8Xf2Iu6bhIefsWg06t1zIlk7cHv7lQP6lMw0Aq6Tn/2YHKHxYyQdqAJrkj
eocgHuP/IJo8lURvh3UGkEC0MpMWCRAIIz7S3YcPb11RFGoKacVPAXJpz9OTTG0E
oKMbgn6xmrntxZ7FN3ifmgg0+1YuWMQJDgZkW7w33PGfKGioVrCSo1yfu4iYCBsk
Haswha6vsC6eep3BwEIc4gLw6uBK0u+QDrTBQBbwb4VCSmT3pDCg/r8uoydajotY
uK3DGReEY+1vVv2Dy2A0xHS+5p3b4eTlygxfFQIDAQABo4IBbjCCAWowHwYDVR0j
BBgwFoAUU3m/WqorSs9UgOHYm8Cd8rIDZsswHQYDVR0OBBYEFI2MXsRUrYrhd+mb
+ZsF4bgBjWHhMA4GA1UdDwEB/wQEAwIBhjASBgNVHRMBAf8ECDAGAQH/AgEAMB0G
A1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjAbBgNVHSAEFDASMAYGBFUdIAAw
CAYGZ4EMAQIBMFAGA1UdHwRJMEcwRaBDoEGGP2h0dHA6Ly9jcmwudXNlcnRydXN0
LmNvbS9VU0VSVHJ1c3RSU0FDZXJ0aWZpY2F0aW9uQXV0aG9yaXR5LmNybDB2Bggr
BgEFBQcBAQRqMGgwPwYIKwYBBQUHMAKGM2h0dHA6Ly9jcnQudXNlcnRydXN0LmNv
bS9VU0VSVHJ1c3RSU0FBZGRUcnVzdENBLmNydDAlBggrBgEFBQcwAYYZaHR0cDov
L29jc3AudXNlcnRydXN0LmNvbTANBgkqhkiG9w0BAQwFAAOCAgEAMr9hvQ5Iw0/H
ukdN+Jx4GQHcEx2Ab/zDcLRSmjEzmldS+zGea6TvVKqJjUAXaPgREHzSyrHxVYbH
7rM2kYb2OVG/Rr8PoLq0935JxCo2F57kaDl6r5ROVm+yezu/Coa9zcV3HAO4OLGi
H19+24rcRki2aArPsrW04jTkZ6k4Zgle0rj8nSg6F0AnwnJOKf0hPHzPE/uWLMUx
RP0T7dWbqWlod3zu4f+k+TY4CFM5ooQ0nBnzvg6s1SQ36yOoeNDT5++SR2RiOSLv
xvcRviKFxmZEJCaOEDKNyJOuB56DPi/Z+fVGjmO+wea03KbNIaiGCpXZLoUmGv38
sbZXQm2V0TP2ORQGgkE49Y9Y3IBbpNV9lXj9p5v//cWoaasm56ekBYdbqbe4oyAL
l6lFhd2zi+WJN44pDfwGF/Y4QA5C5BIG+3vzxhFoYt/jmPQT2BVPi7Fp2RBgvGQq
6jG35LWjOhSbJuMLe/0CjraZwTiXWTb2qHSihrZe68Zk6s+go/lunrotEbaGmAhY
LcmsJWTyXnW0OMGuf1pGg+pRyrbxmRE1a6Vqe8YAsOf4vmSyrcjC8azjUeqkk+B5
yOGBQMkKW+ESPMFgKuOXwIlCypTPRpgSabuY0MLTDXJLR27lk8QyKGOHQ+SwMj4K
00u/I5sUKUErmgQfky3xxzlIPK1aEn8=
-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----
MIIFgTCCBGmgAwIBAgIQOXJEOvkit1HX02wQ3TE1lTANBgkqhkiG9w0BAQwFADB7
MQswCQYDVQQGEwJHQjEbMBkGA1UECAwSR3JlYXRlciBNYW5jaGVzdGVyMRAwDgYD
VQQHDAdTYWxmb3JkMRowGAYDVQQKDBFDb21vZG8gQ0EgTGltaXRlZDEhMB8GA1UE
AwwYQUFBIENlcnRpZmljYXRlIFNlcnZpY2VzMB4XDTE5MDMxMjAwMDAwMFoXDTI4
MTIzMTIzNTk1OVowgYgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5
MRQwEgYDVQQHEwtKZXJzZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBO
ZXR3b3JrMS4wLAYDVQQDEyVVU0VSVHJ1c3QgUlNBIENlcnRpZmljYXRpb24gQXV0
aG9yaXR5MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAgBJlFzYOw9sI
s9CsVw127c0n00ytUINh4qogTQktZAnczomfzD2p7PbPwdzx07HWezcoEStH2jnG
vDoZtF+mvX2do2NCtnbyqTsrkfjib9DsFiCQCT7i6HTJGLSR1GJk23+jBvGIGGqQ
Ijy8/hPwhxR79uQfjtTkUcYRZ0YIUcuGFFQ/vDP+fmyc/xadGL1RjjWmp2bIcmfb
IWax1Jt4A8BQOujM8Ny8nkz+rwWWNR9XWrf/zvk9tyy29lTdyOcSOk2uTIq3XJq0
tyA9yn8iNK5+O2hmAUTnAU5GU5szYPeUvlM3kHND8zLDU+/bqv50TmnHa4xgk97E
xwzf4TKuzJM7UXiVZ4vuPVb+DNBpDxsP8yUmazNt925H+nND5X4OpWaxKXwyhGNV
icQNwZNUMBkTrNN9N6frXTpsNVzbQdcS2qlJC9/YgIoJk2KOtWbPJYjNhLixP6Q5
D9kCnusSTJV882sFqV4Wg8y4Z+LoE53MW4LTTLPtW//e5XOsIzstAL81VXQJSdhJ
WBp/kjbmUZIO8yZ9HE0XvMnsQybQv0FfQKlERPSZ51eHnlAfV1SoPv10Yy+xUGUJ
5lhCLkMaTLTwJUdZ+gQek9QmRkpQgbLevni3/GcV4clXhB4PY9bpYrrWX1Uu6lzG
KAgEJTm4Diup8kyXHAc/DVL17e8vgg8CAwEAAaOB8jCB7zAfBgNVHSMEGDAWgBSg
EQojPpbxB+zirynvgqV/0DCktDAdBgNVHQ4EFgQUU3m/WqorSs9UgOHYm8Cd8rID
ZsswDgYDVR0PAQH/BAQDAgGGMA8GA1UdEwEB/wQFMAMBAf8wEQYDVR0gBAowCDAG
BgRVHSAAMEMGA1UdHwQ8MDowOKA2oDSGMmh0dHA6Ly9jcmwuY29tb2RvY2EuY29t
L0FBQUNlcnRpZmljYXRlU2VydmljZXMuY3JsMDQGCCsGAQUFBwEBBCgwJjAkBggr
BgEFBQcwAYYYaHR0cDovL29jc3AuY29tb2RvY2EuY29tMA0GCSqGSIb3DQEBDAUA
A4IBAQAYh1HcdCE9nIrgJ7cz0C7M7PDmy14R3iJvm3WOnnL+5Nb+qh+cli3vA0p+
rvSNb3I8QzvAP+u431yqqcau8vzY7qN7Q/aGNnwU4M309z/+3ri0ivCRlv79Q2R+
/czSAaF9ffgZGclCKxO/WIu6pKJmBHaIkU4MiRTOok3JMrO66BQavHHxW/BBC5gA
CiIDEOUMsfnNkjcZ7Tvx5Dq2+UUTJnWvu6rvP3t3O9LEApE9GQDTF1w52z97GA1F
zZOFli9d31kWTz9RvdVFGD/tSo7oBmF0Ixa1DVBzJ0RHfxBdiSprhTEUxOipakyA
vGp4z7h/jnZymQyd/teRCBaho1+V
-----END CERTIFICATE-----Негизги алгоритмге негизделген сертификаттар чынжырчасы ПСК. RSA чынжырындай эле, төмөнкү күбөлүк гана алмаштырылган, ал эми үстүнкүсү ошол эле бойдон калган (бул учурда fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----
MIIDqDCCAy6gAwIBAgIRAPNkTmtuAFAjfglGvXvh9R0wCgYIKoZIzj0EAwMwgYgx
CzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5MRQwEgYDVQQHEwtKZXJz
ZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBOZXR3b3JrMS4wLAYDVQQD
EyVVU0VSVHJ1c3QgRUNDIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MB4XDTE4MTEw
MjAwMDAwMFoXDTMwMTIzMTIzNTk1OVowgY8xCzAJBgNVBAYTAkdCMRswGQYDVQQI
ExJHcmVhdGVyIE1hbmNoZXN0ZXIxEDAOBgNVBAcTB1NhbGZvcmQxGDAWBgNVBAoT
D1NlY3RpZ28gTGltaXRlZDE3MDUGA1UEAxMuU2VjdGlnbyBFQ0MgRG9tYWluIFZh
bGlkYXRpb24gU2VjdXJlIFNlcnZlciBDQTBZMBMGByqGSM49AgEGCCqGSM49AwEH
A0IABHkYk8qfbZ5sVwAjBTcLXw9YWsTef1Wj6R7W2SUKiKAgSh16TwUwimNJE4xk
IQeV/To14UrOkPAY9z2vaKb71EijggFuMIIBajAfBgNVHSMEGDAWgBQ64QmG1M8Z
wpZ2dEl23OA1xmNjmjAdBgNVHQ4EFgQU9oUKOxGG4QR9DqoLLNLuzGR7e64wDgYD
VR0PAQH/BAQDAgGGMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYDVR0lBBYwFAYIKwYB
BQUHAwEGCCsGAQUFBwMCMBsGA1UdIAQUMBIwBgYEVR0gADAIBgZngQwBAgEwUAYD
VR0fBEkwRzBFoEOgQYY/aHR0cDovL2NybC51c2VydHJ1c3QuY29tL1VTRVJUcnVz
dEVDQ0NlcnRpZmljYXRpb25BdXRob3JpdHkuY3JsMHYGCCsGAQUFBwEBBGowaDA/
BggrBgEFBQcwAoYzaHR0cDovL2NydC51c2VydHJ1c3QuY29tL1VTRVJUcnVzdEVD
Q0FkZFRydXN0Q0EuY3J0MCUGCCsGAQUFBzABhhlodHRwOi8vb2NzcC51c2VydHJ1
c3QuY29tMAoGCCqGSM49BAMDA2gAMGUCMEvnx3FcsVwJbZpCYF9z6fDWJtS1UVRs
cS0chWBNKPFNpvDKdrdKRe+oAkr2jU+ubgIxAODheSr2XhcA7oz9HmedGdMhlrd9
4ToKFbZl+/OnFFzqnvOhcjHvClECEQcKmc8fmA==
-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Бул дээрлик. Конул бурганын учун рахмат.
Source: www.habr.com