ProHoster > Blog > Pentadbiran > Masalah dengan sijil Sectigo selepas 30 Mei 2020 dan kaedah penyelesaian

Masalah dengan sijil Sectigo selepas 30 Mei 2020 dan kaedah penyelesaian

Pada hari Sabtu 30 Mei 2020, masalah yang tidak jelas timbul dengan sijil SSL/TLS yang popular daripada vendor Sectigo (dahulunya Comodo). Sijil-sijil itu sendiri terus berada dalam susunan yang sempurna, tetapi salah satu sijil CA perantaraan dalam rantaian yang dengannya sijil ini dibekalkan telah menjadi busuk. Situasi ini tidak membawa maut, tetapi tidak menyenangkan: versi penyemak imbas semasa tidak melihat apa-apa, tetapi kebanyakan automasi dan penyemak imbas/OS lama tidak bersedia untuk perubahan sedemikian.

Masalah dengan sijil Sectigo selepas 30 Mei 2020 dan kaedah penyelesaian

Habr tidak terkecuali, itulah sebabnya program pendidikan / postmortem ini ditulis.

TL; DR Penyelesaiannya adalah pada penghujungnya.

Mari langkau teori asas tentang PKI, SSL/TLS, https, dll. Mekanik pengesahan dengan sijil keselamatan domain terdiri daripada membina rangkaian beberapa sijil sehingga satu yang dipercayai oleh penyemak imbas atau sistem pengendalian, yang disimpan dalam apa yang dipanggil Kedai Amanah. Senarai ini diedarkan dengan sistem pengendalian, ekosistem masa jalan atau penyemak imbas. Mana-mana sijil mempunyai tarikh tamat tempoh, selepas itu ia dianggap tidak dipercayai, termasuk sijil di kedai amanah. Apakah rupa rantai amanah sebelum hari yang menentukan? Utiliti web akan membantu kami memikirkannya. Laporan SSL daripada Qualys.

Jadi, salah satu sijil "komersial" yang paling popular ialah Sectigo Positive SSL (sebelum ini dipanggil Comodo Positive SSL, sijil dengan nama ini masih digunakan), ia adalah apa yang dipanggil sijil DV. DV ialah tahap pensijilan yang paling primitif, yang bermaksud menyemak akses kepada pengurusan domain untuk pengeluar sijil tersebut. Sebenarnya, DV bermaksud "pengesahan domain". Untuk rujukan: terdapat juga OV (pengesahan organisasi) dan EV (pengesahan lanjutan), dan sijil percuma daripada Let's Encrypt juga DV. Bagi mereka yang atas sebab tertentu tidak berpuas hati dengan mekanisme ACME, produk SSL Positif adalah yang paling sesuai dari segi nisbah harga/ciri (sijil domain tunggal berharga kira-kira $5-7 setahun dengan jumlah kesahan sijil sehingga 2 tahun 3 bulan).

Sehingga baru-baru ini, sijil Sectigo DV (RSA) standard dibekalkan dengan rantaian CA perantaraan berikut:

Certificate #1:
  Data:
    Version: 3 (0x2)
    Serial Number:
      7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
    Signature Algorithm: sha384WithRSAEncryption
      Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
      Validity
        Not Before: Nov  2 00:00:00 2018 GMT
        Not After : Dec 31 23:59:59 2030 GMT
      Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
  Data:
    Version: 3 (0x2)
    Serial Number:
      13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
    Signature Algorithm: sha384WithRSAEncryption
      Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
      Validity
        Not Before: May 30 10:48:38 2000 GMT
        Not After : May 30 10:48:38 2020 GMT
      Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority

Tiada "sijil ketiga", sijil yang ditandatangani sendiri daripada AddTrust AB, kerana pada satu ketika ia dianggap sebagai adab buruk untuk memasukkan sijil akar yang ditandatangani sendiri dalam rantai. Anda mungkin ambil perhatian bahawa CA perantaraan yang dikeluarkan oleh UserTrust daripada AddTrust mempunyai tarikh tamat tempoh pada 30 Mei 2020. Ini tidak mudah, kerana prosedur penyahtauliahan telah dirancang untuk CA ini. Adalah dipercayai bahawa menjelang 30 Mei 2020, sijil yang ditandatangani silang daripada UserTrust akan muncul di semua kedai amanah pada masa ini (di bawah hud ia adalah sijil yang sama, atau lebih tepatnya kunci awam) dan rantai, walaupun dengan sijil yang sudah tidak dipercayai disertakan, akan mempunyai pembinaan laluan alternatif dan tiada siapa yang akan menyedarinya. Walau bagaimanapun, rancangan itu telah gagal oleh realiti, iaitu istilah "sistem warisan" yang samar-samar. Memang, pemilik versi penyemak imbas semasa tidak menyedari apa-apa, tetapi segunung automasi yang dibina pada perpustakaan curl dan ssl/tls beberapa bahasa pengaturcaraan dan persekitaran pelaksanaan kod rosak. Anda perlu memahami bahawa banyak produk tidak dipandu oleh alat binaan rantai yang dibina ke dalam OS, tetapi "membawa" kedai amanah mereka bersama mereka. Dan ia tidak selalu mengandungi perkara yang anda ingin lihat CA/Forum Penyemak Imbas. Dan dalam Linux, pakej seperti sijil-ca tidak sentiasa dikemas kini. Pada akhirnya, semuanya kelihatan teratur, tetapi sesuatu tidak berfungsi di sana sini.

Daripada Rajah 1 adalah jelas bahawa walaupun bagi sebahagian besar segala-galanya kelihatan seperti biasa, untuk beberapa perkara yang rosak dan trafik menurun dengan ketara (garisan merah kiri), kemudian ia berkembang apabila salah satu sijil utama diganti (garisan kanan). Terdapat juga pancang di tengah, apabila sijil lain ditukar, di mana sesuatu juga bergantung. Memandangkan bagi majoriti, segala-galanya secara visual terus berfungsi dengan lebih kurang normal (kecuali gangguan pelik seperti ketidakupayaan untuk memuatkan gambar di Habrastorage), kami boleh membuat kesimpulan tidak langsung tentang bilangan pelanggan dan bot warisan di Habr.

Masalah dengan sijil Sectigo selepas 30 Mei 2020 dan kaedah penyelesaianRajah 1. Graf trafik pada HabrΓ©.

Daripada Rajah 2, anda boleh menilai bagaimana dalam versi semasa penyemak imbas rantaian "alternatif" dibina kepada sijil CA yang dipercayai dalam penyemak imbas pengguna, walaupun terdapat sijil "busuk" dalam rantaian. Ini, seperti yang dipercayai oleh Sectigo sendiri, adalah sebab untuk tidak melakukan apa-apa.

Masalah dengan sijil Sectigo selepas 30 Mei 2020 dan kaedah penyelesaianRajah 2. Rantaian kepada sijil dipercayai versi moden penyemak imbas.

Tetapi dalam Rajah 3 anda boleh melihat bagaimana segala-galanya kelihatan apabila berlaku masalah dan kami mempunyai sistem warisan. Dalam kes ini, sambungan HTTPS tidak diwujudkan dan kami melihat ralat seperti "pengesahan sijil gagal" atau serupa.

Masalah dengan sijil Sectigo selepas 30 Mei 2020 dan kaedah penyelesaianRajah 3. Rantaian itu tidak sah kerana sijil akar dan sijil perantaraan yang ditandatangani olehnya adalah "busuk".

Dalam Rajah 4 kita sudah melihat "penyelesaian" untuk sistem warisan: terdapat satu lagi sijil perantaraan, atau lebih tepatnya "tandatangan silang" daripada CA lain, yang biasanya diprapasang dalam sistem warisan. Inilah yang anda perlu lakukan: cari sijil ini (yang ditandakan sebagai Muat turun Tambahan) dan gantikan sijil "busuk" dengannya.

Masalah dengan sijil Sectigo selepas 30 Mei 2020 dan kaedah penyelesaianRajah 4. Rantaian alternatif untuk sistem warisan.

Ngomong-ngomong: masalah itu tidak mempunyai publisiti meluas atau sebarang perbincangan awam, termasuk kerana keangkuhan Sectigo yang berlebihan. Di sini, sebagai contoh, adalah pendapat salah satu penyedia sijil dalam hormat kepada situasi ini:

Sebelum ini mereka [Sectigo] semua orang yang yakin tiada masalah akan berlaku. Walau bagaimanapun, realitinya ialah beberapa pelayan/peranti lama terjejas.

Itu adalah keadaan yang tidak masuk akal. Kami menumpukan perhatian mereka kepada AddTrust RSA/ECC yang tamat tempoh beberapa kali dalam setahun dan setiap kali Sectigo memberi jaminan kepada kami tiada masalah akan berlaku.

Saya sendiri bertanya soalan pada Stack Overflow kira-kira sebulan yang lalu, tetapi nampaknya, penonton projek itu tidak begitu sesuai untuk soalan sedemikian, jadi saya terpaksa menjawabnya sendiri selepas analisis.

Sektigo dibebaskan Terdapat FAQ tentang perkara ini, tetapi ia sangat tidak boleh dibaca dan panjang sehingga mustahil untuk digunakan. Berikut adalah petikan yang merupakan intipati keseluruhan penerbitan:

Apa Yang Perlu Anda Lakukan
Untuk kebanyakan kes penggunaan, termasuk sijil yang menyediakan sistem pelanggan atau pelayan moden, tiada tindakan diperlukan, sama ada anda telah mengeluarkan sijil berantai silang ke akar AddTrust atau tidak.

Setakat 30 April 2020: Untuk proses perniagaan yang bergantung pada sistem yang sangat lama, Sectigo telah menyediakan (secara lalai dalam himpunan sijil) akar warisan baharu untuk menandatangani silang, akar "Perkhidmatan Sijil AAA". Walau bagaimanapun, sila berhati-hati terhadap sebarang proses yang bergantung pada sistem warisan yang sangat lama. Sistem yang belum menerima kemas kini yang diperlukan untuk menyokong akar yang lebih baru seperti akar COMODO Sectigo sudah pasti akan kehilangan kemas kini keselamatan penting lain dan harus dianggap tidak selamat. Jika anda masih ingin menandatangani silang ke akar Perkhidmatan Sijil AAA, sila hubungi terus Sectigo.

Saya sangat suka tesis "sangat lama", sudah tentu. Sebagai contoh, curl dalam konsol Ubuntu Linux 18.04 LTS (OS asas kami pada masa ini) dengan kemas kini terkini tidak lebih daripada sebulan tidak boleh dipanggil sangat lama, tetapi ia tidak berfungsi.

Kebanyakan pengedar sijil mengeluarkan nota keputusan mereka pada lewat petang 30 Mei. Sebagai contoh, sangat sesuai dari segi teknikal dari NameCheap (dengan penerangan khusus tentang perkara yang perlu dilakukan dan dengan berkas CA siap sedia dalam arkib zip, tetapi hanya RSA):

Masalah dengan sijil Sectigo selepas 30 Mei 2020 dan kaedah penyelesaianRajah 5. Tujuh langkah untuk memperbaiki semuanya dengan cepat.

Terdapat artikel yang bagus daripada Redhat, tetapi semuanya lebih Legacy dan anda perlu memasang lebih banyak sijil warisan akar daripada Comodo untuk semuanya berfungsi.

keputusan

Adalah wajar untuk menduplikasi penyelesaian di sini juga. Di bawah ialah dua set rantai sijil DV Sectigo (bukan Comodo!), satu untuk sijil RSA biasa, satu lagi untuk sijil ECC (ECDSA) yang kurang biasa (kami telah menggunakan dua rantai untuk sekian lama). Dengan ECC ia lebih sukar, kerana kebanyakan penyelesaian tidak mengambil kira kehadiran sijil tersebut kerana kelazimannya yang rendah. Akibatnya, sijil perantaraan yang diperlukan ditemui pada crt.sh.

Rantaian untuk sijil berdasarkan algoritma utama RSA. Bandingkan dengan rantai anda dan ambil perhatian bahawa hanya sijil bawah telah diganti, manakala sijil atas kekal sama. Saya membezakannya dalam keadaan harian dengan tiga aksara terakhir blok base64, tidak mengira simbol "sama" (dalam kes ini En8= ΠΈ 1+V):

# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----
MIIGEzCCA/ugAwIBAgIQfVtRJrR2uhHbdBYLvFMNpzANBgkqhkiG9w0BAQwFADCB
iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0pl
cnNleSBDaXR5MR4wHAYDVQQKExVUaGUgVVNFUlRSVVNUIE5ldHdvcmsxLjAsBgNV
BAMTJVVTRVJUcnVzdCBSU0EgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTgx
MTAyMDAwMDAwWhcNMzAxMjMxMjM1OTU5WjCBjzELMAkGA1UEBhMCR0IxGzAZBgNV
BAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4GA1UEBxMHU2FsZm9yZDEYMBYGA1UE
ChMPU2VjdGlnbyBMaW1pdGVkMTcwNQYDVQQDEy5TZWN0aWdvIFJTQSBEb21haW4g
VmFsaWRhdGlvbiBTZWN1cmUgU2VydmVyIENBMIIBIjANBgkqhkiG9w0BAQEFAAOC
AQ8AMIIBCgKCAQEA1nMz1tc8INAA0hdFuNY+B6I/x0HuMjDJsGz99J/LEpgPLT+N
TQEMgg8Xf2Iu6bhIefsWg06t1zIlk7cHv7lQP6lMw0Aq6Tn/2YHKHxYyQdqAJrkj
eocgHuP/IJo8lURvh3UGkEC0MpMWCRAIIz7S3YcPb11RFGoKacVPAXJpz9OTTG0E
oKMbgn6xmrntxZ7FN3ifmgg0+1YuWMQJDgZkW7w33PGfKGioVrCSo1yfu4iYCBsk
Haswha6vsC6eep3BwEIc4gLw6uBK0u+QDrTBQBbwb4VCSmT3pDCg/r8uoydajotY
uK3DGReEY+1vVv2Dy2A0xHS+5p3b4eTlygxfFQIDAQABo4IBbjCCAWowHwYDVR0j
BBgwFoAUU3m/WqorSs9UgOHYm8Cd8rIDZsswHQYDVR0OBBYEFI2MXsRUrYrhd+mb
+ZsF4bgBjWHhMA4GA1UdDwEB/wQEAwIBhjASBgNVHRMBAf8ECDAGAQH/AgEAMB0G
A1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjAbBgNVHSAEFDASMAYGBFUdIAAw
CAYGZ4EMAQIBMFAGA1UdHwRJMEcwRaBDoEGGP2h0dHA6Ly9jcmwudXNlcnRydXN0
LmNvbS9VU0VSVHJ1c3RSU0FDZXJ0aWZpY2F0aW9uQXV0aG9yaXR5LmNybDB2Bggr
BgEFBQcBAQRqMGgwPwYIKwYBBQUHMAKGM2h0dHA6Ly9jcnQudXNlcnRydXN0LmNv
bS9VU0VSVHJ1c3RSU0FBZGRUcnVzdENBLmNydDAlBggrBgEFBQcwAYYZaHR0cDov
L29jc3AudXNlcnRydXN0LmNvbTANBgkqhkiG9w0BAQwFAAOCAgEAMr9hvQ5Iw0/H
ukdN+Jx4GQHcEx2Ab/zDcLRSmjEzmldS+zGea6TvVKqJjUAXaPgREHzSyrHxVYbH
7rM2kYb2OVG/Rr8PoLq0935JxCo2F57kaDl6r5ROVm+yezu/Coa9zcV3HAO4OLGi
H19+24rcRki2aArPsrW04jTkZ6k4Zgle0rj8nSg6F0AnwnJOKf0hPHzPE/uWLMUx
RP0T7dWbqWlod3zu4f+k+TY4CFM5ooQ0nBnzvg6s1SQ36yOoeNDT5++SR2RiOSLv
xvcRviKFxmZEJCaOEDKNyJOuB56DPi/Z+fVGjmO+wea03KbNIaiGCpXZLoUmGv38
sbZXQm2V0TP2ORQGgkE49Y9Y3IBbpNV9lXj9p5v//cWoaasm56ekBYdbqbe4oyAL
l6lFhd2zi+WJN44pDfwGF/Y4QA5C5BIG+3vzxhFoYt/jmPQT2BVPi7Fp2RBgvGQq
6jG35LWjOhSbJuMLe/0CjraZwTiXWTb2qHSihrZe68Zk6s+go/lunrotEbaGmAhY
LcmsJWTyXnW0OMGuf1pGg+pRyrbxmRE1a6Vqe8YAsOf4vmSyrcjC8azjUeqkk+B5
yOGBQMkKW+ESPMFgKuOXwIlCypTPRpgSabuY0MLTDXJLR27lk8QyKGOHQ+SwMj4K
00u/I5sUKUErmgQfky3xxzlIPK1aEn8=
-----END CERTIFICATE-----

# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Rantaian untuk sijil berdasarkan algoritma utama ECC. Begitu juga dengan rantaian untuk RSA, hanya sijil yang lebih rendah digantikan dan yang atas kekal sama (dalam kes ini fmA== ΠΈ v/c=):

# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Itu sahaja. Terima kasih kerana memberi perhatian.

Sumber: www.habr.com