မေလ 30 တွင်၊ အမြစ်လက်မှတ်၏နှစ် 20 သက်တမ်းကုန်ဆုံးခဲ့သည်။ ထို အကြီးဆုံး အသိအမှတ်ပြု အာဏာပိုင် Sectigo (Comodo) ၏ လက်မှတ်များ ထုတ်ပေးရန်။ USERTRust အမြစ်အသိအမှတ်ပြုလက်မှတ်အသစ်မပါဝင်သည့် အမွေအနှစ်ပစ္စည်းများနှင့် တွဲဖက်အသုံးပြုနိုင်ရန် အပြန်အလှန်လက်မှတ်ရေးထိုးခြင်းကို ၎င်းတို့၏ အမြစ်အသိအမှတ်ပြုလက်မှတ်စတိုးတွင် ထည့်သွင်းထားသည်။
သီအိုရီအရ၊ AddTrust အမြစ်သက်သေခံလက်မှတ်ကို ရပ်စဲခြင်းသည် အမွေအနှစ်စနစ်များ (Android 2.3၊ Windows XP၊ Mac OS X 10.11၊ iOS 9 စသည်ဖြင့်) ကို ရပ်စဲခြင်းကသာ အရင်းလက်မှတ်ဖြတ်ကျော်လက်မှတ်တွင် အသုံးပြုထားသည့် ဒုတိယအမြစ်လက်မှတ်ကျန်ရှိနေသောကြောင့်၊ မှန်ကန်ပြီး ခေတ်မီသောဘရောက်ဆာများသည် ယုံကြည်ခြင်းကွင်းဆက်ကို စစ်ဆေးသည့်အခါ ၎င်းကို ထည့်သွင်းစဉ်းစားသည်။ အလေ့အကျင့်အပေါ် OpenSSL 1.0.x နှင့် GnuTLS ကိုအခြေခံသည့် ဘရောက်ဆာမဟုတ်သော TLS ဖောက်သည်များတွင် လက်မှတ်ဖြတ်၍ အတည်ပြုခြင်းဆိုင်ရာ ပြဿနာများ။ အကယ်၍ ဆာဗာသည် AddTrust အရင်းလက်မှတ်နှင့် ချိတ်ဆက်ထားသော ယုံကြည်မှုကွင်းဆက်တစ်ခုမှ ချိတ်ဆက်ထားသော Sectigo လက်မှတ်ကို အသုံးပြုနေပါက လက်မှတ်သည် ခေတ်နောက်ကျနေပြီဟု ဖော်ပြသော အမှားအယွင်းတစ်ခုဖြင့် လုံခြုံသောချိတ်ဆက်မှုကို တည်ဆောက်တော့မည်မဟုတ်ပါ။
အကယ်၍ ခေတ်မီဘရောက်ဆာများအသုံးပြုသူများသည် AddTrust root လက်မှတ်၏ခေတ်နောက်ကျခြင်းကိုသတိမထားမိပါက၊ ပြင်ပမှအက်ပ်လီကေးရှင်းများနှင့် server-side handlers အမျိုးမျိုးတွင် ပြဿနာများစတင်ပေါ်ပေါက်လာသည်။ အစိတ်အပိုင်းများကြား အပြန်အလှန်အကျိုးသက်ရောက်မှုအတွက် ကုဒ်ဝှက်ထားသော ဆက်သွယ်ရေးလမ်းကြောင်းများကို အသုံးပြုသည့် အခြေခံအဆောက်အဦများစွာ။
ဥပမာ ရှိခဲ့တယ်။ Debian နှင့် Ubuntu ရှိ အချို့သော package repositories သို့ဝင်ရောက်ခြင်းဖြင့် (apt သည် လက်မှတ်အတည်ပြုချက်အမှားကိုစတင်ထုတ်လုပ်ခဲ့သည်)၊ "curl" နှင့် "wget" utilities ကိုအသုံးပြုထားသော scripts များမှ တောင်းဆိုမှုများသည် စတင်၍မရတော့ဘဲ Git ကိုအသုံးပြုသောအခါတွင် အမှားအယွင်းများကိုတွေ့ရှိရပါသည်။ Roku streaming ပလပ်ဖောင်း အလုပ်လုပ်နေသဖြင့် ကိုင်တွယ်သူများကို မခေါ်တော့ပါ။ и , စတင်ခဲ့သည်။ Heroku အက်ပ်များတွင်၊ OpenLDAP ဖောက်သည်များ ချိတ်ဆက်သည်၊ SMTPS နှင့် SMTP ဆာဗာများသို့ စာပို့ရာတွင် ပြဿနာများကို STARTTLS ဖြင့် တွေ့ရှိသည်။ ထို့အပြင်၊ http client တစ်ခုနှင့် module တစ်ခုကိုအသုံးပြုသော Ruby၊ PHP နှင့် Python script အမျိုးမျိုးတွင် ပြဿနာများကို တွေ့ရှိရသည်။ Browser ပြဿနာ Epiphany သည် ကြော်ငြာပိတ်ဆို့ခြင်းစာရင်းများကို ဖွင့်ခြင်းကို ရပ်လိုက်သည် ။
Go ကမ်းလှမ်းမှုများကြောင့် Go ပရိုဂရမ်များသည် ဤပြဿနာကြောင့် မထိခိုက်ပါ။ TLS
အဆိုပါပြဿနာသည် ဖြန့်ဝေမှုအဟောင်းများ (Debian 9၊ Ubuntu 16.04 အပါအဝင်၊ ) ပြဿနာရှိသော OpenSSL အကိုင်းအခက်များကို အသုံးပြုသော်လည်း ပြဿနာဖြစ်သည်။ APT သည် GnuTLS စာကြည့်တိုက်ကို အသုံးပြုသောကြောင့် APT ၏ လက်ရှိထွက်ရှိထားသော Debian 10 နှင့် Ubuntu 18.04/20.04 တို့တွင်လည်း APT ပက်ကေ့ဂျ်မန်နေဂျာသည် လုပ်ဆောင်နေချိန်ဖြစ်သည်။ ပြဿနာ၏ အဓိကအချက်မှာ TLS/SSL စာကြည့်တိုက်များစွာသည် လက်မှတ်တစ်ခုကို linear chain တစ်ခုအဖြစ် ခွဲခြမ်းစိတ်ဖြာပြီး RFC 4158 အရ၊ လက်မှတ်တစ်ခုသည် ထည့်သွင်းစဉ်းစားရန်လိုအပ်သည့် ယုံကြည်မှုကျောက်ဆူးများစွာဖြင့် တိုက်ရိုက်ဖြန့်ဝေထားသော စက်ဝိုင်းဂရပ်ကို ကိုယ်စားပြုနိုင်သည်။ OpenSSL နှင့် GnuTLS တွင် ဤချို့ယွင်းချက်အကြောင်း . OpenSSL တွင် ပြဿနာကို ဌာနခွဲ 1.1.1 နှင့် တို့တွင် ဖြေရှင်းခဲ့သည်။ ကျန်နေပါသည်။ .
ဖြေရှင်းနည်းအနေဖြင့်၊ စနစ်စတိုးမှ “AddTrust External CA Root” လက်မှတ်ကို ဖယ်ရှားရန် အကြံပြုထားသည် (ဥပမာ၊ /etc/ca-certificates.conf နှင့် /etc/ssl/certs တို့မှ ဖယ်ရှားပြီး၊ ထို့နောက် “update-ca -certificates -f -v") ပြီးနောက် OpenSSL သည် ၎င်း၏ပါဝင်မှုနှင့်အတူ အပြန်အလှန်လက်မှတ်ရေးထိုးထားသော လက်မှတ်များကို ပုံမှန်အတိုင်း စတင်လုပ်ဆောင်ပါသည်။ APT ပက်ကေ့ဂျ်မန်နေဂျာကိုအသုံးပြုသည့်အခါ၊ တစ်ဦးချင်းစီတောင်းဆိုမှုများအတွက် လက်မှတ်အတည်ပြုခြင်းကို သင်ပိတ်ထားနိုင်သည် (ဥပမာ၊ "apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false") .
ပြဿနာကို ပိတ်ဆို့ရန် и AddTrust လက်မှတ်ကို အမည်ပျက်စာရင်းတွင် ထည့်သွင်းရန် အဆိုပြုထားသည်။
trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
update-ca-trust ဖြည်
ဒါပေမယ့် ဒီနည်းလမ်းကို GnuTLS အတွက် (ဥပမာ၊ wget utility ကို run သောအခါတွင် လက်မှတ်အတည်ပြုချက်အမှားတစ်ခု ဆက်လက်ပေါ်လာသည်)။
ဆာဗာဘက်တွင်သင်လုပ်နိုင်သည်။ ကလိုင်းယင့်ထံ ဆာဗာမှပေးပို့သော ယုံကြည်ခြင်းကွင်းဆက်ရှိ လက်မှတ်များကို စာရင်းပြုစုခြင်း (“AddTrust External CA Root” နှင့်ဆက်စပ်သော လက်မှတ်များကို စာရင်းမှ ဖယ်ရှားပါက သုံးစွဲသူ၏ အတည်ပြုခြင်း အောင်မြင်ပါမည်)။ ယုံကြည်မှု ကွင်းဆက်အသစ်ကို စစ်ဆေးပြီး ထုတ်လုပ်ရန် ဝန်ဆောင်မှုကို သင် အသုံးပြုနိုင်ပါသည်။ . Sectigo လည်းပါပါတယ်။ အစားထိုးလက်မှတ်ထိုးထားသော အလယ်အလတ်လက်မှတ်""၊ သည် 2028 ခုနှစ်အထိ သက်တမ်းရှိမည်ဖြစ်ပြီး OS ၏ ဗားရှင်းအဟောင်းများနှင့် တွဲဖက်အသုံးပြုနိုင်မည်ဖြစ်သည်။
ထပ်လောင်း: ပြဿနာလည်းရှိသည်။ LibreSSL တွင်
source: opennet.ru