E Samschdeg 30. Mee 2020 ass en net direkt kloere Problem entstanen mat populäre SSL / TLS Zertifikater vum Verkeefer Sectigo (fréiere Comodo). D'Zertifikater selwer ware weider a perfekt Uerdnung, awer ee vun den Zwëschen CA-Zertifikaten an de Ketten, mat deenen dës Zertifikater geliwwert goufen, ass verrotten. D'Situatioun ass net fatal ze soen, awer désagréabel: déi aktuell Versioune vu Browser hunn näischt gemierkt, awer déi meescht Automatisatiounen an al Browser / OS waren net prett fir sou en Tour.
Habr war keng Ausnahm, dofir gouf dëse Bildungsprogramm / Postmortem geschriwwen.
TL; DR Léisung um Enn.
Loosst eis d'Basistheorie iwwer PKI, SSL / TLS, https a méi iwwersprangen. D'Mechanik vun der Authentifikatioun mat engem Domain-Sécherheetszertifika ass eng Kette vun enger Zuel vun Certificaten ze bauen op ee vun deenen, déi vum Browser oder Betriebssystem vertraut ginn, déi am sougenannte Trust Store gespäichert sinn. Dës Lëscht gëtt mam Betribssystem, Code Runtime Ecosystem oder Browser verdeelt. All Certificaten hunn en Verfallsdatum no deem se als net vertraut ugesi ginn, och Certificaten am Vertrauensgeschäft. Wéi huet d'Kette vum Vertrauen ausgesinn virum Schicksal Dag? E Web Utility hëlleft eis et erauszefannen aus Qualys.
Also, ee vun de populäersten "kommerziellen" Certificaten ass Sectigo Positive SSL (fréier Comodo Positive SSL, Certificaten mat dësem Numm sinn nach ëmmer am Gebrauch), et ass de sougenannten DV-Zertifika. DV ass de primitivste Niveau vun der Zertifizéierung, dat heescht Verifizéierung vum Zougang zum Domainmanagement vum Emittent vun esou engem Zertifika. Eigentlech steet DV fir "Domain Validatioun". Fir Referenz: et gëtt och OV (Organisatiounsvalidatioun) an EV (verlängert Validatioun), an e gratis Zertifika vu Let's Encrypt ass och DV. Fir déi, déi aus irgendege Grënn net mat dem ACME Mechanismus zefridden sinn, ass de Positive SSL Produkt am meeschte gëeegent a punkto Präis / Features (en Eendomain Zertifika kascht ongeféier 5-7 Dollar pro Joer mat enger Gesamtzertifika Validitéitsperiod vu bis bis 2 Joer an 3 Méint).
De Sectigo DV Generic Certificate (RSA) koum bis viru kuerzem mat dëser Kette vun Zwëschen CAs:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityEt gëtt keen "drëtt Zertifikat", selbst ënnerschriwwen vun AddTrust AB, well iergendwann an der Zäit et als schlecht Manéier ugesi gouf fir selbst ënnerschriwwene Rootzertifikater a Ketten opzehuelen. Notéiert datt den Zwëschen CA ausgestallt vum AddTrust's UserTrust en Verfallsdatum vum 30. Mee 2020 huet. Dëst ass net einfach, well eng Decommissioning Prozedur fir dësen CA geplangt war. Et gouf gegleeft datt bis den 30. Mee 2020 e Kräiz-ënnerschriwwenen Zertifika vun UserTrust zu dëser Zäit an all Vertrauensgeschäfter géif optrieden (ënnert der Hood ass dëst deeselwechten Zertifika, oder éischter en ëffentleche Schlëssel) an d'Kette, och mat der schonn untrusted Zertifikat abegraff, wäert hunn alternativ Weeër Gebai a keen wäert Notiz. Allerdéngs sinn d'Pläng an d'Realitéit gefall, nämlech de laange Begrëff "Legacy Systemer". Tatsächlech hunn d'Besëtzer vun aktuellen Versioune vu Browser näischt gemierkt, awer de Bierg vun der Automatioun gebaut op Curl an ssl / tls Bibliothéike vun enger Rei vu Programméierungssproochen a Code Ausféierung Ëmfeld ass gebrach. Et sollt verstane ginn datt vill Produkter net vun de Kettenbau-Tools, déi an den OS gebaut sinn, guidéiert ginn, awer hir Vertrauensgeschäft mat hinnen "droen". A si enthalen net ëmmer wat se gäre gesinn. . An am Linux ginn Packagen wéi ca-Zertifikater net ëmmer aktualiséiert. Um Enn schéngt alles an der Rei ze sinn, awer eppes funktionnéiert net hei an do.
Vun der Figur 1 ass et kloer datt obwuel alles normal ausgesinn huet fir déi grouss Majoritéit, eppes ass fir een gebrach an de Verkéier ass merkbar gefall (lénks rout Linn), dann ass et gewuess wann ee vun de Schlësselzertifikater ersat gouf (riets Linn). Et waren Burst an der Mëtt, wann aner Zertifikater geännert goufen, vun deenen och eppes ofhänkt. Well fir d'Majoritéit alles visuell méi oder manner reegelméisseg weidergeet (mat Ausnam vu komeschen Glitches wéi d'Onméiglechkeet Biller op Habrastorage ze lueden), kënne mir en indirekt Conclusioun iwwer d'Zuel vun de legacy Clienten a Bots op Habré maachen.
Figur 1. Grafik vum "Verkéier" op Habré.
Figur 2 weist wéi eng "Alternativ" Kette an aktuell Versiounen vun Browser zu engem trauen CA Zertifikat am Browser d'Benotzer gebaut ass, och wann et eng "verrotten" Zertifikat an der Kette ass. Dëst, wéi d'Sectigo selwer gegleeft huet, ass de Grond fir näischt ze maachen.
Figur 2. Kette zu engem trauen Zertifikat fir eng modern Browser Versioun.
Awer an der Figur 3 kënnt Dir gesinn wéi alles wierklech ausgesäit wann eppes falsch gaang ass a mir hunn e Legacy System. An dësem Fall ass d'HTTPS Verbindung net etabléiert a mir gesinn e Feeler wéi "Zertifikatvalidatioun gescheitert" oder ähnlech.
Figur 3. D'Kette gouf ongëlteg well de root Zertifikat an der Zwëschenzäit ënnerschriwwen vun et waren "verrotten".
An der Figur 4 gesi mir schonn eng "Léisung" fir Legacy Systemer: et gëtt en anert Zwëschenzertifika, oder éischter eng "Cross-Signatur" vun enger anerer CA, déi normalerweis an Legacy Systemer virinstalléiert ass. Dëst ass wat Dir maache musst: Fannt dësen Zertifika (deen als Extra Download markéiert ass) an ersetzt de "verrotten" domat.
Figur 4. Alternativ Kette fir Legacy Systemer.
Iwwregens: de Problem hat keng breet Publizitéit an eng Aart vun ëffentlecher Diskussioun, och wéinst der exzessiver Arroganz vu Sectigo. Zum Beispill, hei ass d'Meenung vun engem vun den Zertifikat Ubidder an zu dëser Situatioun:
Virdrun si [Sectigo] huet jidderengem verséchert datt keng Probleemer wäerte sinn. Wéi och ëmmer, d'Realitéit ass datt e puer legacy Serveren / Geräter betraff sinn.
Dat ass eng lächerlech Situatioun. Mir hunn hir Opmierksamkeet op déi oflafend AddTrust RSA / ECC e puer Mol bannent engem Joer gewisen an all Kéier wann de Sectigo eis verséchert huet datt keng Probleemer wäerte sinn.
Ech perséinlech gefrot op Stack Overflow iwwer dëst virun engem Mount, awer anscheinend ass d'Publikum vum Projet net ganz gëeegent fir sou Froen, also hunn ech et selwer no der Analyse ze beäntweren.
sectigo Et gëtt eng FAQ iwwer dëst Thema, awer et ass sou onliesbar a laang datt et onméiglech ass et ze benotzen. Hei ass en Zitat dat d'Quintessens vun der ganzer Verëffentlechung ass:
Wat Dir maache musst
Fir déi meescht Benotzungsfäll, inklusiv Certificaten déi modern Client- oder Serversystemer servéieren, ass keng Handlung erfuerderlech, egal ob Dir Zertifikater ausgestallt hutt, déi mat der AddTrust Root geknäppt sinn.Ab dem 30. Abrëll 2020: Fir Geschäftsprozesser, déi vu ganz alen Systemer ofhänken, huet Sectigo (par défaut an den Zertifikatbündelen) eng nei Legacy-Wurzel fir Cross-Ënnerschrëft zur Verfügung gestallt, de "AAA Certificate Services" Root. Wéi och ëmmer, benotzt w.e.g. extrem Vorsicht iwwer all Prozess dee vu ganz alen Legacy Systemer hänkt. Systemer déi net d'Aktualiséierunge kritt hunn fir méi nei Wuerzelen z'ënnerstëtzen wéi Sectigo's COMODO Root wäerten zwangsleefeg aner wesentlech Sécherheetsupdates fehlen a sollten als onsécher ugesi ginn. Wann Dir nach ëmmer gären op d'AAA Certificate Services root ënnerschreiwe wëllt, kontaktéiert w.e.g. Sectigo direkt.
Déi "ganz al" Dissertatioun gefällt mir natierlech immens gutt. Zum Beispill, curl an der Konsole vun Ubuntu Linux 18.04 LTS (eis Basis OS am Moment) mat de leschten Updates net méi al wéi ee Mount, et ass schwéier ganz al ze nennen, awer et funktionnéiert net.
Déi meescht Zertifikat Distributeuren hunn hir Entscheedungsnotizen am spéiden Nomëtteg vum 30. Mee verëffentlecht. Zum Beispill, ganz gëeegent an technesch Begrëffer aus (mat enger spezifescher Beschreiwung vu wat ze maachen a mat fäerdege CA-Bündelen an Zip-Archiven, awer nëmmen RSA):
Figur 5. Siwen Schrëtt Saachen séier ze befestegt.
et ginn vu Redhat, awer et gëtt ëmmer méi Legacy an Dir musst en nach méi Root Legacy Zertifikat vum Comodo installéieren fir datt alles funktionnéiert.
Decisioun
Et ass derwäert d'Léisung och hei ze duplizéieren. Drënner sinn zwee Sätz vu Ketten fir Certificaten DV Sectigo (net Comodo!), Ee fir déi vertraut RSA Certificaten, déi aner fir déi manner vertraut ECC (ECDSA) Certificaten (mir hunn zwou Ketten fir eng laang Zäit benotzt). Mat ECC war et méi schwéier, well déi meescht Léisungen d'Präsenz vun esou Certificaten net berücksichtegen wéinst hirer gerénger Prävalenz. Als Resultat gouf den erfuerderlechen Tëschestatioun op fonnt .
Kette fir Certificaten baséiert op Schlëssel Algorithmus RSA. Vergläicht mat Ärer Kette a bemierkt datt nëmmen den ënneschten Zertifika ersat gouf, während den ieweschten d'selwecht bliwwen ass. Ech ënnerscheeden se doheem duerch déi lescht dräi Zeeche vun base64 Blocks, net de "gläiche" Charakter zielen (an dësem Fall En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Kette fir Certificaten baséiert op Schlëssel Algorithmus ECC. Ähnlech mat der Kette fir RSA gouf nëmmen den ënneschten Zertifika ersat, während déi iewescht d'selwecht bliwwen ass (an dësem Fall fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----
MIID0zCCArugAwIBAgIQVmcdBOpPmUxvEIFHWdJ1lDANBgkqhkiG9w0BAQwFADB7
MQswCQYDVQQGEwJHQjEbMBkGA1UECAwSR3JlYXRlciBNYW5jaGVzdGVyMRAwDgYD
VQQHDAdTYWxmb3JkMRowGAYDVQQKDBFDb21vZG8gQ0EgTGltaXRlZDEhMB8GA1UE
AwwYQUFBIENlcnRpZmljYXRlIFNlcnZpY2VzMB4XDTE5MDMxMjAwMDAwMFoXDTI4
MTIzMTIzNTk1OVowgYgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5
MRQwEgYDVQQHEwtKZXJzZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBO
ZXR3b3JrMS4wLAYDVQQDEyVVU0VSVHJ1c3QgRUNDIENlcnRpZmljYXRpb24gQXV0
aG9yaXR5MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEGqxUWqn5aCPnetUkb1PGWthL
q8bVttHmc3Gu3ZzWDGH926CJA7gFFOxXzu5dP+Ihs8731Ip54KODfi2X0GHE8Znc
JZFjq38wo7Rw4sehM5zzvy5cU7Ffs30yf4o043l5o4HyMIHvMB8GA1UdIwQYMBaA
FKARCiM+lvEH7OKvKe+CpX/QMKS0MB0GA1UdDgQWBBQ64QmG1M8ZwpZ2dEl23OA1
xmNjmjAOBgNVHQ8BAf8EBAMCAYYwDwYDVR0TAQH/BAUwAwEB/zARBgNVHSAECjAI
MAYGBFUdIAAwQwYDVR0fBDwwOjA4oDagNIYyaHR0cDovL2NybC5jb21vZG9jYS5j
b20vQUFBQ2VydGlmaWNhdGVTZXJ2aWNlcy5jcmwwNAYIKwYBBQUHAQEEKDAmMCQG
CCsGAQUFBzABhhhodHRwOi8vb2NzcC5jb21vZG9jYS5jb20wDQYJKoZIhvcNAQEM
BQADggEBABns652JLCALBIAdGN5CmXKZFjK9Dpx1WywV4ilAbe7/ctvbq5AfjJXy
ij0IckKJUAfiORVsAYfZFhr1wHUrxeZWEQff2Ji8fJ8ZOd+LygBkc7xGEJuTI42+
FsMuCIKchjN0djsoTI0DQoWz4rIjQtUfenVqGtF8qmchxDM6OW1TyaLtYiKou+JV
bJlsQ2uRl9EMC5MCHdK8aXdJ5htN978UeAOwproLtOGFfy/cQjutdAFI3tZs4RmY
CV4Ks2dH/hzg1cEo70qLRDEmBDeNiXQ2Lu+lIg+DdEmSx/cQwgwp+7e9un/jX9Wf
8qn0dNW44bOwgeThpWOjzOoEeJBuv/c=
-----END CERTIFICATE-----Dat ass zimlech et. Merci fir är Opmierksamkeet.
Source: will.com