🥇Problēma ar Sectigo sertifikātiem pēc 30. gada 2020. maija un risinājuma metodi

Sestdien, 30. gada 2020. maijā, radās neskaidra problēma saistībā ar populārajiem SSL/TLS sertifikātiem no pārdevēja Sectigo (iepriekšējais Comodo). Paši sertifikāti turpināja būt ideālā kārtībā, tomēr viens no CA starpsertifikātiem ķēdēs, ar kurām šie sertifikāti tika piegādāti, sapuvis. Situācija nav teikt, ka liktenīga, bet nepatīkama: pašreizējās pārlūkprogrammu versijas neko nepamanīja, tomēr lielākā daļa automatizāciju un veco pārlūkprogrammu / OS nebija gatavas šādam pavērsienam.

Habrs nebija izņēmums, tāpēc tika uzrakstīta šī izglītības programma / pēcnāves.

TL; DR Risinājums pašās beigās.

Izlaidīsim pamata teoriju par PKI, SSL/TLS, https un citiem. Autentifikācijas mehānisms ar domēna drošības sertifikātu ir izveidot virkni sertifikātu līdz vienam no tiem, kam pārlūkprogramma vai operētājsistēma ir uzticama un kas tiek glabāti tā sauktajā Trust Store. Šis saraksts tiek izplatīts kopā ar operētājsistēmu, koda izpildlaika ekosistēmu vai pārlūkprogrammu. Visiem sertifikātiem ir derīguma termiņš, pēc kura tie tiek uzskatīti par neuzticamiem, tostarp uzticamības krātuves sertifikātiem. Kā izskatījās uzticības ķēde pirms liktenīgās dienas? Tīmekļa utilīta palīdzēs mums to noskaidrot SSL ziņojums no Qualys.

Tātad, viens no populārākajiem "komerciālajiem" sertifikātiem ir Sectigo Positive SSL (agrāk Comodo Positive SSL, sertifikāti ar šādu nosaukumu joprojām tiek izmantoti), tas ir tā sauktais DV sertifikāts. DV ir primitīvākais sertifikācijas līmenis, kas nozīmē šāda sertifikāta izsniedzēja piekļuves domēna pārvaldībai pārbaudi. Patiesībā DV nozīmē "domēna validācija". Uzziņai: ir arī OV (organizācijas validācija) un EV (paplašinātā validācija), un bezmaksas sertifikāts no Let's Encrypt ir arī DV. Tiem, kuri kaut kādu iemeslu dēļ nav apmierināti ar ACME mehānismu, cenas/funkciju ziņā vispiemērotākais ir Positive SSL produkts (viena domēna sertifikāts maksā apmēram 5-7 dolārus gadā ar kopējo sertifikāta derīguma termiņu uz augšu līdz 2 gadiem un 3 mēnešiem).

Sectigo DV vispārējais sertifikāts (RSA) vēl nesen tika piegādāts ar šo starpposma CA ķēdi:

Certificate #1:
  Data:
    Version: 3 (0x2)
    Serial Number:
      7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
    Signature Algorithm: sha384WithRSAEncryption
      Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
      Validity
        Not Before: Nov  2 00:00:00 2018 GMT
        Not After : Dec 31 23:59:59 2030 GMT
      Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
  Data:
    Version: 3 (0x2)
    Serial Number:
      13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
    Signature Algorithm: sha384WithRSAEncryption
      Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
      Validity
        Not Before: May 30 10:48:38 2000 GMT
        Not After : May 30 10:48:38 2020 GMT
      Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority

Nav “trešā sertifikāta”, kas būtu pašparakstīts no AddTrust AB, jo kādā brīdī tika uzskatīts par sliktu manierēm iekļaut ķēdēs pašparakstītus saknes sertifikātus. Ņemiet vērā, ka starpposma CA, ko izdevusi AddTrust's UserTrust, derīguma termiņš ir 30. gada 2020. maijs. Tas nav viegli, jo šai CA tika plānota ekspluatācijas pārtraukšanas procedūra. Tika uzskatīts, ka līdz 30. gada 2020. maijam visos uzticības veikalos (zem pārsega tas ir tas pats sertifikāts vai drīzāk publiskā atslēga) un ķēdē parādīsies savstarpēji parakstīts sertifikāts no UserTrust, pat ar jau neuzticams sertifikāts iekļauts, būs alternatīvi ceļi būvē un neviens nepamanīs. Tomēr plāni sabruka realitātē, proti, ilgstošais termins "mantotās sistēmas". Patiešām, pašreizējo pārlūkprogrammu versiju īpašnieki neko nepamanīja, tomēr automatizācijas kalns, kas tika veidots uz vairāku programmēšanas valodu un koda izpildes vidi curl un ssl / tls bibliotēkām, salūza. Jāsaprot, ka daudzi produkti netiek vadīti pēc OS iebūvētajiem ķēdes veidošanas rīkiem, bet gan “nēsā” līdzi savu uzticības veikalu. Un tie ne vienmēr satur to, ko viņi vēlētos redzēt. CA / Pārlūka forums. Un operētājsistēmā Linux tādas pakotnes kā ca-sertifikāti ne vienmēr tiek atjauninātas. Beigās it kā viss ir kārtībā, bet kaut kas šur tur nestrādā.

No 1. attēla redzams, ka, lai gan lielajam vairumam viss izskatījās normāli, kādam kaut kas salūza un satiksme manāmi mazinājās (kreisā sarkanā līnija), tad tā pieauga, kad tika nomainīts viens no atslēgas sertifikātiem (labā līnija). Pa vidu bija pārrāvumi, kad tika mainīti citi sertifikāti, no kuriem arī kaut kas bija atkarīgs. Tā kā lielākajai daļai viss vizuāli turpināja darboties vairāk vai mazāk regulāri (izņemot dīvainas kļūmes, piemēram, neiespējamību ielādēt attēlus Habrastorage), mēs varam izdarīt netiešu secinājumu par Habré mantoto klientu un robotu skaitu.

1. attēls. Habré "satiksmes" grafiks.

2. attēlā parādīts, kā pašreizējās pārlūkprogrammu versijās tiek veidota “alternatīva” ķēde uz uzticamu CA sertifikātu lietotāja pārlūkprogrammā, pat ja ķēdē ir “sapuvis” sertifikāts. Tas, kā uzskatīja pati Sectigo, ir pats iemesls, kāpēc neko nedarīt.

2. attēls. Ķēde pie uzticama sertifikāta modernai pārlūkprogrammas versijai.

Bet 3. attēlā var redzēt, kā viss patiesībā izskatās, kad kaut kas nogāja greizi un mums ir mantota sistēma. Šajā gadījumā HTTPS savienojums nav izveidots, un tiek parādīta kļūda, piemēram, "sertifikāta validācija neizdevās" vai līdzīgu kļūdu.

3. attēls. Ķēde tika atzīta par nederīgu, jo saknes sertifikāts un ar to parakstītais starpprodukts bija "sapuvuši".

4. attēlā mēs jau redzam “risinājumu” mantotajām sistēmām: ir vēl viens starpsertifikāts vai drīzāk “savstarpējais paraksts” no citas CA, kas parasti ir iepriekš instalēts mantotajās sistēmās. Tas ir jādara: atrodiet šo sertifikātu (kas ir atzīmēts kā Papildu lejupielāde) un nomainiet "sapuvušo" ar to.

4. attēls. Alternatīva ķēde mantotajām sistēmām.

Starp citu: problēmai nebija plašas publicitātes un kaut kādas publiskas diskusijas, tai skaitā Sectigo pārmērīgās augstprātības dēļ. Piemēram, šeit ir viena no sertifikātu nodrošinātājiem viedoklis cieņu šai situācijai:

Iepriekš viņi [Sectigo] apliecināja visiem, ka nekādu problēmu nebūs. Tomēr realitāte ir tāda, ka tiek ietekmēti daži mantotie serveri/ierīces.

Tā ir smieklīga situācija. Mēs vērsām viņu uzmanību uz AddTrust RSA/ECC, kura derīguma termiņš beidzas, gada laikā vairākas reizes, un katru reizi, kad Sectigo mums apliecināja, ka problēmas nebūs.

Es personīgi jautāju jautājums vietnē Stack Overflow par to pirms mēneša, taču acīmredzot projekta auditorija nav īpaši piemērota šādiem jautājumiem, tāpēc pēc analīzes nācās atbildēt pašam.

Sektigo atbrīvots Par šo tēmu ir FAQ, taču tas ir tik nelasāms un garš, ka to nav iespējams izmantot. Šeit ir citāts, kas ir visas publikācijas kvintesence:

Kas jums jādara
Lielākajai daļai lietošanas gadījumu, tostarp sertifikātiem, kas apkalpo mūsdienu klientu vai serveru sistēmas, nav jāveic nekādas darbības neatkarīgi no tā, vai esat izsniedzis sertifikātus, kas ir savienoti ar AddTrust sakni.

Sākot ar 30. gada 2020. aprīli: Biznesa procesiem, kas ir atkarīgi no ļoti vecām sistēmām, Sectigo ir padarījis pieejamu (pēc noklusējuma sertifikātu komplektos) jaunu mantoto sakni savstarpējai parakstīšanai — sakni “AAA Certificate Services”. Tomēr, lūdzu, esiet īpaši piesardzīgs attiecībā uz jebkuru procesu, kas ir atkarīgs no ļoti vecām mantotajām sistēmām. Sistēmām, kas nav saņēmušas nepieciešamos atjauninājumus, lai atbalstītu jaunākas saknes, piemēram, Sectigo COMODO saknes, neizbēgami trūks citu būtisku drošības atjauninājumu, un tās jāuzskata par nedrošām. Ja joprojām vēlaties parakstīties ar AAA sertifikātu pakalpojumu sakni, lūdzu, tieši sazinieties ar Sectigo.

Man ļoti patīk, protams, “ļoti vecais” darbs. Piemēram, ielocīt Ubuntu Linux 18.04 LTS (šobrīd mūsu bāzes OS) konsolē ar jaunākajiem atjauninājumiem, kas nav vecāki par mēnesi, grūti nosaukt par ļoti vecu, bet tas nedarbojas.

Lielākā daļa sertifikātu izplatītāju savus lēmumu piezīmes publicēja 30. maija vēlā pēcpusdienā. Piemēram, ļoti piemērots tehniskā ziņā no NameCheap (ar konkrētu aprakstu, ko darīt, un ar gataviem CA komplektiem zip arhīvos, bet tikai RSA):

5. attēls. Septiņas darbības, lai ātri salabotu lietas.

Ir labs raksts no Redhat, bet ir arvien vairāk Legacy un ir jāinstalē vēl vairāk saknes mantojuma sertifikāts no Comodo, lai viss darbotos.

Šķīdums

Arī šeit ir vērts dublēt risinājumu. Zemāk ir divi sertifikātu ķēžu komplekti DV Sectigo (nevis Comodo!), viens pazīstamajiem RSA sertifikātiem, otrs mazāk pazīstamajiem ECC (ECDSA) sertifikātiem (jau sen lietojam divas ķēdes). Ar ECC tas bija grūtāk, jo lielākajā daļā risinājumu šādu sertifikātu klātbūtne nav ņemta vērā to zemās izplatības dēļ. Rezultātā tika atrasts nepieciešamais starpsertifikāts crt.sh.

Sertifikātu ķēde, kuras pamatā ir atslēgas algoritms RSA. Salīdziniet ar savu ķēdi un ņemiet vērā, ka ir nomainīts tikai apakšējais sertifikāts, bet augšējais ir palicis nemainīgs. Es tos mājās atšķiru pēc base64 bloku pēdējām trim rakstzīmēm, neskaitot “vienāds” rakstzīmi (šajā gadījumā En8= и 1+V):

# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----
MIIGEzCCA/ugAwIBAgIQfVtRJrR2uhHbdBYLvFMNpzANBgkqhkiG9w0BAQwFADCB
iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0pl
cnNleSBDaXR5MR4wHAYDVQQKExVUaGUgVVNFUlRSVVNUIE5ldHdvcmsxLjAsBgNV
BAMTJVVTRVJUcnVzdCBSU0EgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTgx
MTAyMDAwMDAwWhcNMzAxMjMxMjM1OTU5WjCBjzELMAkGA1UEBhMCR0IxGzAZBgNV
BAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4GA1UEBxMHU2FsZm9yZDEYMBYGA1UE
ChMPU2VjdGlnbyBMaW1pdGVkMTcwNQYDVQQDEy5TZWN0aWdvIFJTQSBEb21haW4g
VmFsaWRhdGlvbiBTZWN1cmUgU2VydmVyIENBMIIBIjANBgkqhkiG9w0BAQEFAAOC
AQ8AMIIBCgKCAQEA1nMz1tc8INAA0hdFuNY+B6I/x0HuMjDJsGz99J/LEpgPLT+N
TQEMgg8Xf2Iu6bhIefsWg06t1zIlk7cHv7lQP6lMw0Aq6Tn/2YHKHxYyQdqAJrkj
eocgHuP/IJo8lURvh3UGkEC0MpMWCRAIIz7S3YcPb11RFGoKacVPAXJpz9OTTG0E
oKMbgn6xmrntxZ7FN3ifmgg0+1YuWMQJDgZkW7w33PGfKGioVrCSo1yfu4iYCBsk
Haswha6vsC6eep3BwEIc4gLw6uBK0u+QDrTBQBbwb4VCSmT3pDCg/r8uoydajotY
uK3DGReEY+1vVv2Dy2A0xHS+5p3b4eTlygxfFQIDAQABo4IBbjCCAWowHwYDVR0j
BBgwFoAUU3m/WqorSs9UgOHYm8Cd8rIDZsswHQYDVR0OBBYEFI2MXsRUrYrhd+mb
+ZsF4bgBjWHhMA4GA1UdDwEB/wQEAwIBhjASBgNVHRMBAf8ECDAGAQH/AgEAMB0G
A1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjAbBgNVHSAEFDASMAYGBFUdIAAw
CAYGZ4EMAQIBMFAGA1UdHwRJMEcwRaBDoEGGP2h0dHA6Ly9jcmwudXNlcnRydXN0
LmNvbS9VU0VSVHJ1c3RSU0FDZXJ0aWZpY2F0aW9uQXV0aG9yaXR5LmNybDB2Bggr
BgEFBQcBAQRqMGgwPwYIKwYBBQUHMAKGM2h0dHA6Ly9jcnQudXNlcnRydXN0LmNv
bS9VU0VSVHJ1c3RSU0FBZGRUcnVzdENBLmNydDAlBggrBgEFBQcwAYYZaHR0cDov
L29jc3AudXNlcnRydXN0LmNvbTANBgkqhkiG9w0BAQwFAAOCAgEAMr9hvQ5Iw0/H
ukdN+Jx4GQHcEx2Ab/zDcLRSmjEzmldS+zGea6TvVKqJjUAXaPgREHzSyrHxVYbH
7rM2kYb2OVG/Rr8PoLq0935JxCo2F57kaDl6r5ROVm+yezu/Coa9zcV3HAO4OLGi
H19+24rcRki2aArPsrW04jTkZ6k4Zgle0rj8nSg6F0AnwnJOKf0hPHzPE/uWLMUx
RP0T7dWbqWlod3zu4f+k+TY4CFM5ooQ0nBnzvg6s1SQ36yOoeNDT5++SR2RiOSLv
xvcRviKFxmZEJCaOEDKNyJOuB56DPi/Z+fVGjmO+wea03KbNIaiGCpXZLoUmGv38
sbZXQm2V0TP2ORQGgkE49Y9Y3IBbpNV9lXj9p5v//cWoaasm56ekBYdbqbe4oyAL
l6lFhd2zi+WJN44pDfwGF/Y4QA5C5BIG+3vzxhFoYt/jmPQT2BVPi7Fp2RBgvGQq
6jG35LWjOhSbJuMLe/0CjraZwTiXWTb2qHSihrZe68Zk6s+go/lunrotEbaGmAhY
LcmsJWTyXnW0OMGuf1pGg+pRyrbxmRE1a6Vqe8YAsOf4vmSyrcjC8azjUeqkk+B5
yOGBQMkKW+ESPMFgKuOXwIlCypTPRpgSabuY0MLTDXJLR27lk8QyKGOHQ+SwMj4K
00u/I5sUKUErmgQfky3xxzlIPK1aEn8=
-----END CERTIFICATE-----

# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Sertifikātu ķēde, kuras pamatā ir atslēgas algoritms ECC. Līdzīgi ar RSA ķēdi tika nomainīts tikai apakšējais sertifikāts, bet augšējais palika nemainīgs (šajā gadījumā fmA== и v/c=):

# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Tas ir gandrīz viss. Paldies par jūsu uzmanību.

Avots: www.habr.com