මැයි 30 වැනිදා, මූල සහතිකයේ අවුරුදු 20ක වලංගු කාලය අවසන් විය , ඒ විශාලතම සහතික කිරීමේ අධිකාරියක් වන Sectigo (Comodo) හි හරස් අත්සන් සහිත සහතිකයක් උත්පාදනය කිරීමට. නව USERTRust මූල සහතිකය ඔවුන්ගේ මූල සහතික ගබඩාවට එක් නොකළ උරුම උපාංග සමඟ ගැළපීම සඳහා හරස් අත්සන් කිරීම ඉඩ දී ඇත.
න්යායාත්මකව, AddTrust මූල සහතිකය අවසන් කිරීම මගින් උරුම පද්ධති (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, ආදිය) සමග ගැළපුම උල්ලංඝනය කිරීමකට පමණක් හේතු විය යුතුය, මන්ද හරස් අත්සනෙහි භාවිතා කරන ලද දෙවන මූල සහතිකය ඉතිරිව ඇත. වලංගු සහ නවීන බ්රව්සර් විශ්වාස දාමය පරීක්ෂා කිරීමේදී එය සැලකිල්ලට ගනී. ප්රායෝගිකව OpenSSL 1.0.x සහ GnuTLS මත පදනම් වූ ඒවා ඇතුළුව, බ්රවුසර නොවන TLS සේවාලාභීන් තුළ හරස් අත්සන සත්යාපනය කිරීමේ ගැටළු. AddTrust මූල සහතිකය වෙත විශ්වාස දාමයක් මගින් සම්බන්ධ කර ඇති Sectigo සහතිකයක් සේවාදායකය භාවිතා කරන්නේ නම් සහතිකය යල් පැන ගිය බවට අඟවන දෝෂයක් සමඟ ආරක්ෂිත සම්බන්ධතාවයක් තවදුරටත් ස්ථාපිත නොවේ.
නවීන බ්රව්සර් භාවිතා කරන්නන් හරස් අත්සන් කළ Sectigo සහතික සැකසීමේදී AddTrust මූල සහතිකයේ යල්පැන ඇති බව නොදැන සිටියේ නම්, විවිධ තෙවන පාර්ශවීය යෙදුම් සහ සේවාදායක පැති හසුරුවන්නෙහි ගැටළු මතු වීමට පටන් ගත්තේය. සංරචක අතර අන්තර්ක්රියා සඳහා සංකේතාත්මක සන්නිවේදන නාලිකා භාවිතා කරන බොහෝ යටිතල පහසුකම්.
උදාහරණයක් ලෙස, තිබුණා Debian සහ Ubuntu හි සමහර පැකේජ ගබඩා වෙත ප්රවේශ වීමත් සමඟ (apt සහතික සත්යාපන දෝෂයක් ජනනය කිරීමට පටන් ගත්තේය), "curl" සහ "wget" උපයෝගිතා භාවිතා කරන ස්ක්රිප්ට් වලින් ඉල්ලීම් අසාර්ථක වීමට පටන් ගත්තේය, Git භාවිතා කිරීමේදී දෝෂ නිරීක්ෂණය විය, Roku ප්රවාහ වේදිකාව ක්රියා කරයි, හසුරුවන්නන් තවදුරටත් කැඳවනු නොලැබේ и , පටන් ගත්තා Heroku යෙදුම් තුළ, OpenLDAP සේවාලාභීන් සම්බන්ධ වේ, SMTPS වෙත තැපැල් යැවීමේ ගැටළු සහ STARTTLS සහිත SMTP සේවාදායකයන් අනාවරණය වේ. මීට අමතරව, http සේවාදායකයක් සමඟ මොඩියුලයක් භාවිතා කරන විවිධ Ruby, PHP සහ Python ස්ක්රිප්ට් වල ගැටළු නිරීක්ෂණය කෙරේ. බ්රවුසරයේ ගැටලුවක් දැන්වීම් අවහිර කිරීමේ ලැයිස්තු පූරණය කිරීම නැවැත්වූ එපිෆනි.
Go පිරිනැමීම් නිසා Go වැඩසටහන්වලට මෙම ගැටලුව බලපාන්නේ නැත TLS.
ගැටළුව පැරණි බෙදාහැරීම් නිකුතු වලට බලපාන බව (Debian 9, Ubuntu 16.04 ඇතුළුව, ) ගැටළු සහගත OpenSSL ශාඛා භාවිතා කරන නමුත් ගැටළුව APT GnuTLS පුස්තකාලය භාවිතා කරන බැවින්, APT පැකේජ කළමනාකරු Debian 10 සහ Ubuntu 18.04/20.04 හි වත්මන් නිකුතු වල ක්රියාත්මක වන විට. ගැටලුවේ හරය නම්, බොහෝ TLS/SSL පුස්තකාලවල සහතිකයක් රේඛීය දාමයක් ලෙස විග්රහ කිරීම වන අතර, RFC 4158 අනුව, සහතිකයක් මඟින් සැලකිල්ලට ගත යුතු බහුවිධ විශ්වාස නැංගුරම් සහිත සෘජු බෙදා හරින ලද චක්රලේඛ ප්රස්ථාරයක් නියෝජනය කළ හැකිය. OpenSSL සහ GnuTLS හි මෙම දෝෂය ගැන . OpenSSL හි ගැටළුව 1.1.1 ශාඛාවේ සහ ඉන් විසඳා ඇත ඉතිරි වේ .
විසඳුමක් ලෙස, පද්ධති ගබඩාවෙන් “AddTrust External CA Root” සහතිකය ඉවත් කිරීමට යෝජනා කෙරේ (උදාහරණයක් ලෙස, /etc/ca-certificates.conf සහ /etc/ssl/certs වෙතින් ඉවත් කර, පසුව “update-ca ධාවනය කරන්න. -certificates -f -v"), ඉන්පසු OpenSSL විසින් හරස් අත්සන් කරන ලද සහතික සාමාන්යයෙන් එහි සහභාගීත්වයෙන් සැකසීමට පටන් ගනී. APT පැකේජ කළමනාකරු භාවිතා කරන විට, ඔබට ඔබේම අවදානමකින් තනි ඉල්ලීම් සඳහා සහතික සත්යාපනය අක්රිය කළ හැකිය (උදාහරණයක් ලෙස, “apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false”) .
තුළ ඇති ගැටලුව අවහිර කිරීමට и AddTrust සහතිකය අසාදු ලේඛනයට එක් කිරීමට යෝජනා කෙරේ:
trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
update-ca-trust උපුටා ගැනීම
නමුත් මෙම ක්රමය GnuTLS සඳහා (උදාහරණයක් ලෙස, wget උපයෝගීතාව ධාවනය කරන විට සහතික සත්යාපන දෝෂයක් දිගටම දිස්වේ).
සේවාදායකය පැත්තෙන් ඔබට පුළුවන් සේවාදායකයා විසින් සේවාදායකයා වෙත යවන ලද විශ්වාස දාමයේ සහතික ලැයිස්තුගත කිරීම ("AddTrust External CA Root" හා සම්බන්ධ සහතිකය ලැයිස්තුවෙන් ඉවත් කර ඇත්නම්, එවිට සේවාදායකයාගේ සත්යාපනය සාර්ථක වනු ඇත). නව විශ්වාස දාමයක් පරීක්ෂා කර උත්පාදනය කිරීමට, ඔබට සේවාව භාවිතා කළ හැක . සෙක්ටිගෝ ද විකල්ප හරස් අත්සන් කරන ලද අතරමැදි සහතිකය "“, එය 2028 දක්වා වලංගු වන අතර OS හි පැරණි අනුවාද සමඟ අනුකූලතාව පවත්වා ගනී.
එකතු කිරීම: ගැටලුව ද LibreSSL හි.
මූලාශ්රය: opennet.ru