I te 30 o Mei, kua pau te 20 tau o te tiwhikete pakiaka , e ki te whakaputa i nga tiwhikete haina-whakawhiti o tetahi o nga mana tohu nui rawa atu a Sectigo (Comodo). Whakaaetia te hainatanga whakawhiti mo te hototahi ki nga taputapu tuku iho karekau te tiwhikete pakiaka USERTRust hou i honoa ki to ratou toa tiwhikete pakiaka.
Ko te tikanga, ko te whakakorenga o te tiwhikete pakiaka AddTrust me arahi noa ki te takahi i te hototahi ki nga punaha tuku iho (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, me etahi atu), na te mea kei te noho tonu te tiwhikete pakiaka tuarua i whakamahia i roto i te hainatanga ripeka. Ka whai whakaaro nga kaitirotiro whaimana me nga mea hou i te wa e tirotirohia ana te mekameka whakawhirinaki. I runga i te parakatihi Ko nga raruraru me te hainatanga whakawhiti i roto i nga kaihoko TLS kore-kaitirotiro, tae atu ki era i runga i OpenSSL 1.0.x me GnuTLS. Ko te hononga haumaru kua kore e whakatuu me te hapa e tohu ana kua tawhito te tiwhikete mena kei te whakamahi te tūmau i te tiwhikete Sectigo e honoa ana e te mekameka whakawhirinaki ki te tiwhikete pakiaka AddTrust.
Mena kaore nga kaiwhakamahi o nga kaitirotiro hou i kite i te tawhito o te tiwhikete pakiaka AddTrust i te wa e tukatuka ana i nga tiwhikete a Sectigo kua hainatia-whiti, katahi ka timata nga raru ki te puta ake i roto i nga momo tono tuatoru me nga kaikawe taha-tūmau, i puta ai he maha nga hanganga e whakamahi ana i nga waahana korero whakamunatia mo te taunekeneke i waenga i nga waahanga.
Hei tauira, i reira me te uru atu ki etahi putunga putunga i Debian me Ubuntu (apt i timata ki te whakaputa i te hapa manatoko tiwhikete), ka tiimata nga tono mai i nga tuhinga ma te whakamahi i nga taputapu "curl" me te "wget", ka kitea nga hapa i te wa e whakamahi ana i a Git, Kei te mahi te papa roma Roku, kua kore e karangahia nga kaikawe и , i timata i roto i nga taupānga Heroku, Ka hono nga kiritaki OpenLDAP, ka kitea nga raru ki te tuku mēra ki nga SMTPS me nga tūmau SMTP me te STARTTLS. I tua atu, ka kitea nga raruraru i roto i nga momo tuhinga Ruby, PHP me Python e whakamahi ana i tetahi waahanga me tetahi kaihoko http. He raruraru pūtirotiro Epiphany, i mutu te uta i nga rarangi aukati panui.
Ko nga kaupapa Haere kaore e pa ki tenei raru na te mea ka tuku a Go TLS.
ka pa te raruraru ki nga tukunga tohatoha tawhito (tae atu ki a Debian 9, Ubuntu 16.04, ) e whakamahi ana i nga peka OpenSSL raruraru, engari ko te raruraru i te wa e rere ana te kaiwhakahaere kete APT i nga putanga o naianei o Debian 10 me Ubuntu 18.04/20.04, na te mea ka whakamahia e APT te whare pukapuka GnuTLS. Ko te mea nui o te raru ko te maha o nga whare pukapuka TLS/SSL e tarai ana i tetahi tiwhikete hei mekameka raina, engari e ai ki te RFC 4158, ka taea e tetahi tiwhikete te tohu i te kauwhata porohita kua tohatohahia me nga punga whakawhirinaki maha e tika ana kia whai whakaaro. Mo tenei hapa i OpenSSL me GnuTLS . I roto i te OpenSSL i whakatikahia te raru i te peka 1.1.1, me roto noho tonu .
Hei mahi, ka whakaarohia kia tangohia te tiwhikete "AddTrust External CA Root" mai i te toa punaha (hei tauira, tangohia mai i /etc/ca-certificates.conf me /etc/ssl/certs, katahi ka whakahaere i te "update-ca -certificates -f -v"), muri iho ka timata a OpenSSL ki te tukatuka i nga tiwhikete haina-whakawhiti me tana whai waahi. I te wa e whakamahi ana koe i te kaiwhakahaere kete APT, ka taea e koe te whakakore i te tiwhikete tiwhikete mo nga tono takitahi i runga i to tupono (hei tauira, "apt-get update -o Whiwhi::https::download.jitsi.org::Verify-Peer=false") .
Hei aukati i te raru ki roto и Ka whakaarohia kia taapirihia te tiwhikete AddTrust ki te rarangi pango:
trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
whakahou-ca-whakawhirinaki tangohanga
Engari ko tenei tikanga mo GnuTLS (hei tauira, ka puta tonu te hapa manatoko tiwhikete i te wa e whakahaere ana te taputapu wget).
I te taha tūmau ka taea e koe whakarārangitia ngā tiwhikete i roto i te mekameka whakawhirinaki ka tukuna e te tūmau ki te kiritaki (mehemea ka tangohia te tiwhikete e hono ana ki te "AddTrust External CA Root" mai i te rarangi, katahi ka angitu te manatoko a te kiritaki). Hei tirotiro me te whakaputa i tetahi mekameka whakawhirinaki hou, ka taea e koe te whakamahi i te ratonga . Sectigo hoki tiwhikete takawaenga kua hainatia whitiwhiti "", ka whai mana tae noa ki te 2028 ka mau tonu te hototahi ki nga putanga tawhito o te OS.
Tāpiritanga: Raruraru hoki i roto i te LibreSSL.
Source: opennet.ru