Të shtunën, 30 maj 2020, u shfaq një problem jo i qartë menjëherë me certifikatat e njohura SSL / TLS nga shitësi Sectigo (ish Comodo). Vetë certifikatat vazhduan të ishin në rregull të përsosur, megjithatë, një nga certifikatat e ndërmjetme të AK-së në zinxhirët me të cilët furnizoheshin këto certifikata u kalbur. Situata nuk është fatale, por e pakëndshme: versionet aktuale të shfletuesve nuk vunë re asgjë, megjithatë, shumica e automatizimeve dhe shfletuesve / OS të vjetër nuk ishin gati për një kthesë të tillë.
Habr nuk ishte përjashtim, prandaj u shkrua ky program arsimor/postmortem.
TL; DR Zgjidhja në fund.
Le të kalojmë teorinë bazë rreth PKI, SSL / TLS, https dhe më shumë. Mekanika e vërtetimit me një certifikatë sigurie domeni është ndërtimi i një zinxhiri të një numri certifikatash në një nga ato të besuara nga shfletuesi ose sistemi operativ, të cilat ruhen në të ashtuquajturin Trust Store. Kjo listë shpërndahet me sistemin operativ, ekosistemin e kohës së ekzekutimit të kodit ose shfletuesin. Çdo certifikatë ka një datë skadimi pas së cilës ato konsiderohen të pabesueshme, duke përfshirë certifikatat në dyqanin e besimit. Si dukej zinxhiri i besimit para ditës fatale? Një vegël në internet do të na ndihmojë ta kuptojmë nga Qualys.
Pra, një nga certifikatat "komerciale" më të njohura është Sectigo Positive SSL (ish Comodo Positive SSL, certifikatat me këtë emër janë ende në përdorim), është e ashtuquajtura DV-certificate. DV është niveli më primitiv i certifikimit, që do të thotë verifikim i aksesit në menaxhimin e domenit nga lëshuesi i një certifikate të tillë. Në fakt, DV qëndron për "vlefshmërinë e domenit". Për referencë: ekziston gjithashtu OV (validimi i organizatës) dhe EV (validimi i zgjatur), dhe një certifikatë falas nga Let's Encrypt është gjithashtu DV. Për ata që për ndonjë arsye nuk janë të kënaqur me mekanizmin ACME, produkti SSL Pozitiv është më i përshtatshmi për sa i përket çmimit / veçorive (një certifikatë me një domen kushton rreth 5-7 dollarë në vit me një periudhë të vlefshmërisë totale të certifikatës lart deri në 2 vjet e 3 muaj).
Certifikata e përgjithshme e Sectigo DV (RSA) deri vonë vinte me këtë zinxhir të CA-ve të ndërmjetme:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityNuk ka asnjë "çertifikatë të tretë", të vetë-nënshkruar nga AddTrust AB, pasi në një moment në kohë u konsiderua sjellje e keqe përfshirja e certifikatave rrënjësore të vetë-nënshkruara në zinxhirë. Vini re se CA e ndërmjetme e lëshuar nga UserTrust e AddTrust ka një datë skadimi më 30 maj 2020. Kjo nuk është e lehtë, pasi për këtë AK ishte planifikuar një procedurë dekomisionimi. Besohej se deri më 30 maj 2020, një certifikatë e nënshkruar nga UserTrust do të shfaqej në të gjitha dyqanet e besimit deri në këtë kohë (nën kapuç, kjo është e njëjta certifikatë, ose më saktë një çelës publik) dhe zinxhiri, madje edhe me Certifikata tashmë e pabesueshme e përfshirë, do të ketë rrugë alternative ndërtimi dhe askush nuk do ta vërejë. Megjithatë, planet u rrëzuan në realitet, përkatësisht termi i gjatë "sistemet e trashëgimisë". Në të vërtetë, pronarët e versioneve aktuale të shfletuesve nuk vunë re asgjë, megjithatë, mali i automatizimit i ndërtuar në bibliotekat curl dhe ssl / tls të një numri gjuhë programimi dhe mjedise të ekzekutimit të kodit u prish. Duhet të kuptohet se shumë produkte nuk udhëhiqen nga mjetet e ndërtimit të zinxhirit të integruara në OS, por "mbartin" me vete dyqanin e tyre të besimit. Dhe jo gjithmonë përmbajnë atë që do të donin të shihnin. . Dhe në Linux, paketat si çertifikatat ca nuk përditësohen gjithmonë. Në fund, gjithçka duket se është në rregull, por diçka nuk funksionon aty-këtu.
Nga Figura 1, është e qartë se megjithëse gjithçka dukej normale për shumicën dërrmuese, diçka u prish për dikë dhe trafiku u ul ndjeshëm (vija e kuqe majtas), më pas u rrit kur një nga certifikatat kryesore u zëvendësua (vija djathtas). Kishte breshëri në mes, kur ndërroheshin certifikatat e tjera, nga të cilat varej edhe diçka. Meqenëse për shumicën vizualisht gjithçka vazhdoi të funksiononte pak a shumë rregullisht (me përjashtim të defekteve të çuditshme si pamundësia e ngarkimit të fotove në Habrastorage), ne mund të nxjerrim një përfundim indirekt për numrin e klientëve dhe robotëve të vjetër në Habré.
Figura 1. Grafiku i "trafikut" në Habré.
Figura 2 tregon se si ndërtohet një zinxhir "alternativ" në versionet aktuale të shfletuesve ndaj një certifikate CA të besuar në shfletuesin e përdoruesit, edhe nëse ka një certifikatë "të kalbur" në zinxhir. Kjo, siç besonte vetë Sectigo, është pikërisht arsyeja për të mos bërë asgjë.
Figura 2. Lidhuni me një certifikatë të besuar për një version modern të shfletuesit.
Por në figurën 3, ju mund të shihni se si duket gjithçka në të vërtetë kur diçka shkoi keq dhe ne kemi një sistem të trashëguar. Në këtë rast, lidhja HTTPS nuk është krijuar dhe shohim një gabim si "vleftësimi i certifikatës dështoi" ose i ngjashëm.
Figura 3. Zinxhiri ishte i pavlefshëm sepse certifikata rrënjë dhe ndërmjetësi i nënshkruar prej tij ishin "kalbur".
Në figurën 4, ne shohim tashmë një "zgjidhje" për sistemet e trashëguara: ekziston një tjetër certifikatë e ndërmjetme, ose më mirë një "nënshkrim i kryqëzuar" nga një CA tjetër, e cila zakonisht është e parainstaluar në sistemet e vjetra. Kjo është ajo që duhet të bëni: gjeni këtë certifikatë (e cila është shënuar si shkarkim shtesë) dhe zëvendësoni atë "të kalbur" me të.
Figura 4. Zinxhiri alternativ për sistemet e trashëguara.
Nga rruga: problemi nuk pati një publicitet të gjerë dhe një lloj diskutimi publik, përfshirë për shkak të arrogancës së tepruar të Sectigo. Për shembull, këtu është mendimi i një prej ofruesve të certifikatave në për këtë situatë:
Më parë ata [Sektigo] i siguroi të gjithë se nuk do të ketë probleme. Megjithatë, realiteti është se disa serverë/pajisje të trashëguara janë prekur.
Kjo është një situatë qesharake. Ne e drejtuam vëmendjen e tyre tek skadimi i AddTrust RSA/ECC shumë herë brenda një viti dhe çdo herë që Sectigo na siguronte se nuk do të kishte probleme.
Unë personalisht e pyeta në Stack Overflow për këtë një muaj më parë, por me sa duket, audienca e projektit nuk është shumë e përshtatshme për pyetje të tilla, kështu që më është dashur t'i përgjigjem vetë pas analizës.
Sektigo Ekziston një FAQ për këtë temë, por është aq e palexueshme dhe e gjatë saqë është e pamundur të përdoret. Këtu është një citat që është thelbi i të gjithë botimit:
Çfarë duhet të bësh
Për shumicën e rasteve të përdorimit, duke përfshirë certifikatat që shërbejnë sistemet moderne të klientit ose serverit, nuk kërkohet asnjë veprim, pavarësisht nëse keni lëshuar certifikata të ndërlidhura me rrënjën AddTrust.Që nga 30 Prilli 2020: Për proceset e biznesit që varen nga sistemet shumë të vjetra, Sectigo ka vënë në dispozicion (si parazgjedhje në paketat e certifikatave) një rrënjë të re të trashëguar për nënshkrimin e kryqëzuar, rrënjën "Shërbimet e Certifikatës AAA". Megjithatë, ju lutemi, bëni kujdes ekstrem për çdo proces që varet nga sistemet e vjetra të vjetra. Sistemeve që nuk kanë marrë përditësimet e nevojshme për të mbështetur rrënjët më të reja, siç është rrënja COMODO e Sectigo, në mënyrë të pashmangshme do t'u mungojnë përditësimet e tjera thelbësore të sigurisë dhe duhet të konsiderohen të pasigurta. Nëse ende dëshironi të nënshkruani në rrënjën e Shërbimeve të Certifikatës AAA, ju lutemi kontaktoni direkt Sectigo.
Më pëlqen shumë teza "shumë e vjetër", natyrisht. Për shembull, përkuluni në tastierën e Ubuntu Linux 18.04 LTS (OS-i ynë bazë për momentin) me përditësimet më të fundit jo më të vjetra se një muaj, është e vështirë ta quash shumë të vjetër, por nuk funksionon.
Shumica e shpërndarësve të certifikatave lëshuan shënimet e tyre të vendimit në orët e vona të pasdites së 30 majit. Për shembull, shumë i përshtatshëm në aspektin teknik nga (me një përshkrim specifik të asaj që duhet bërë dhe me paketat e gatshme CA në arkivat zip, por vetëm RSA):
Figura 5. Shtatë hapa për t'i rregulluar gjërat shpejt.
Ka nga Redhat, por ka gjithnjë e më shumë Legacy dhe ju duhet të instaloni një certifikatë edhe më të trashëgimisë rrënjësore nga Comodo që gjithçka të funksionojë.
vendim
Edhe këtu ia vlen të dyfishohet zgjidhja. Më poshtë janë dy grupe zinxhirësh për certifikata DV Sectigo (jo Comodo!), njëra për certifikatat e njohura RSA, tjetra për certifikatat më pak të njohura ECC (ECDSA) (ne kemi përdorur dy zinxhirë për një kohë të gjatë). Me ECC, ishte më e vështirë, pasi shumica e zgjidhjeve nuk marrin parasysh praninë e certifikatave të tilla për shkak të prevalencës së tyre të ulët. Si rezultat, certifikata e ndërmjetme e kërkuar u gjet në .
Zinxhiri për certifikatat bazuar në algoritmin kyç RSA. Krahasoni me zinxhirin tuaj dhe vini re se vetëm certifikata e poshtme është zëvendësuar, ndërsa ajo e sipërme ka mbetur e njëjtë. Unë i dalloj ato në shtëpi nga tre karakteret e fundit të blloqeve base64, pa llogaritur karakterin "e barabartë" (në këtë rast En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----
MIIGEzCCA/ugAwIBAgIQfVtRJrR2uhHbdBYLvFMNpzANBgkqhkiG9w0BAQwFADCB
iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0pl
cnNleSBDaXR5MR4wHAYDVQQKExVUaGUgVVNFUlRSVVNUIE5ldHdvcmsxLjAsBgNV
BAMTJVVTRVJUcnVzdCBSU0EgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTgx
MTAyMDAwMDAwWhcNMzAxMjMxMjM1OTU5WjCBjzELMAkGA1UEBhMCR0IxGzAZBgNV
BAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4GA1UEBxMHU2FsZm9yZDEYMBYGA1UE
ChMPU2VjdGlnbyBMaW1pdGVkMTcwNQYDVQQDEy5TZWN0aWdvIFJTQSBEb21haW4g
VmFsaWRhdGlvbiBTZWN1cmUgU2VydmVyIENBMIIBIjANBgkqhkiG9w0BAQEFAAOC
AQ8AMIIBCgKCAQEA1nMz1tc8INAA0hdFuNY+B6I/x0HuMjDJsGz99J/LEpgPLT+N
TQEMgg8Xf2Iu6bhIefsWg06t1zIlk7cHv7lQP6lMw0Aq6Tn/2YHKHxYyQdqAJrkj
eocgHuP/IJo8lURvh3UGkEC0MpMWCRAIIz7S3YcPb11RFGoKacVPAXJpz9OTTG0E
oKMbgn6xmrntxZ7FN3ifmgg0+1YuWMQJDgZkW7w33PGfKGioVrCSo1yfu4iYCBsk
Haswha6vsC6eep3BwEIc4gLw6uBK0u+QDrTBQBbwb4VCSmT3pDCg/r8uoydajotY
uK3DGReEY+1vVv2Dy2A0xHS+5p3b4eTlygxfFQIDAQABo4IBbjCCAWowHwYDVR0j
BBgwFoAUU3m/WqorSs9UgOHYm8Cd8rIDZsswHQYDVR0OBBYEFI2MXsRUrYrhd+mb
+ZsF4bgBjWHhMA4GA1UdDwEB/wQEAwIBhjASBgNVHRMBAf8ECDAGAQH/AgEAMB0G
A1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjAbBgNVHSAEFDASMAYGBFUdIAAw
CAYGZ4EMAQIBMFAGA1UdHwRJMEcwRaBDoEGGP2h0dHA6Ly9jcmwudXNlcnRydXN0
LmNvbS9VU0VSVHJ1c3RSU0FDZXJ0aWZpY2F0aW9uQXV0aG9yaXR5LmNybDB2Bggr
BgEFBQcBAQRqMGgwPwYIKwYBBQUHMAKGM2h0dHA6Ly9jcnQudXNlcnRydXN0LmNv
bS9VU0VSVHJ1c3RSU0FBZGRUcnVzdENBLmNydDAlBggrBgEFBQcwAYYZaHR0cDov
L29jc3AudXNlcnRydXN0LmNvbTANBgkqhkiG9w0BAQwFAAOCAgEAMr9hvQ5Iw0/H
ukdN+Jx4GQHcEx2Ab/zDcLRSmjEzmldS+zGea6TvVKqJjUAXaPgREHzSyrHxVYbH
7rM2kYb2OVG/Rr8PoLq0935JxCo2F57kaDl6r5ROVm+yezu/Coa9zcV3HAO4OLGi
H19+24rcRki2aArPsrW04jTkZ6k4Zgle0rj8nSg6F0AnwnJOKf0hPHzPE/uWLMUx
RP0T7dWbqWlod3zu4f+k+TY4CFM5ooQ0nBnzvg6s1SQ36yOoeNDT5++SR2RiOSLv
xvcRviKFxmZEJCaOEDKNyJOuB56DPi/Z+fVGjmO+wea03KbNIaiGCpXZLoUmGv38
sbZXQm2V0TP2ORQGgkE49Y9Y3IBbpNV9lXj9p5v//cWoaasm56ekBYdbqbe4oyAL
l6lFhd2zi+WJN44pDfwGF/Y4QA5C5BIG+3vzxhFoYt/jmPQT2BVPi7Fp2RBgvGQq
6jG35LWjOhSbJuMLe/0CjraZwTiXWTb2qHSihrZe68Zk6s+go/lunrotEbaGmAhY
LcmsJWTyXnW0OMGuf1pGg+pRyrbxmRE1a6Vqe8YAsOf4vmSyrcjC8azjUeqkk+B5
yOGBQMkKW+ESPMFgKuOXwIlCypTPRpgSabuY0MLTDXJLR27lk8QyKGOHQ+SwMj4K
00u/I5sUKUErmgQfky3xxzlIPK1aEn8=
-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Zinxhiri për certifikatat bazuar në algoritmin kyç ECC. Ngjashëm me zinxhirin për RSA, vetëm certifikata e poshtme u zëvendësua, ndërsa ajo e sipërme mbeti e njëjtë (në këtë rast fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----
MIID0zCCArugAwIBAgIQVmcdBOpPmUxvEIFHWdJ1lDANBgkqhkiG9w0BAQwFADB7
MQswCQYDVQQGEwJHQjEbMBkGA1UECAwSR3JlYXRlciBNYW5jaGVzdGVyMRAwDgYD
VQQHDAdTYWxmb3JkMRowGAYDVQQKDBFDb21vZG8gQ0EgTGltaXRlZDEhMB8GA1UE
AwwYQUFBIENlcnRpZmljYXRlIFNlcnZpY2VzMB4XDTE5MDMxMjAwMDAwMFoXDTI4
MTIzMTIzNTk1OVowgYgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5
MRQwEgYDVQQHEwtKZXJzZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBO
ZXR3b3JrMS4wLAYDVQQDEyVVU0VSVHJ1c3QgRUNDIENlcnRpZmljYXRpb24gQXV0
aG9yaXR5MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEGqxUWqn5aCPnetUkb1PGWthL
q8bVttHmc3Gu3ZzWDGH926CJA7gFFOxXzu5dP+Ihs8731Ip54KODfi2X0GHE8Znc
JZFjq38wo7Rw4sehM5zzvy5cU7Ffs30yf4o043l5o4HyMIHvMB8GA1UdIwQYMBaA
FKARCiM+lvEH7OKvKe+CpX/QMKS0MB0GA1UdDgQWBBQ64QmG1M8ZwpZ2dEl23OA1
xmNjmjAOBgNVHQ8BAf8EBAMCAYYwDwYDVR0TAQH/BAUwAwEB/zARBgNVHSAECjAI
MAYGBFUdIAAwQwYDVR0fBDwwOjA4oDagNIYyaHR0cDovL2NybC5jb21vZG9jYS5j
b20vQUFBQ2VydGlmaWNhdGVTZXJ2aWNlcy5jcmwwNAYIKwYBBQUHAQEEKDAmMCQG
CCsGAQUFBzABhhhodHRwOi8vb2NzcC5jb21vZG9jYS5jb20wDQYJKoZIhvcNAQEM
BQADggEBABns652JLCALBIAdGN5CmXKZFjK9Dpx1WywV4ilAbe7/ctvbq5AfjJXy
ij0IckKJUAfiORVsAYfZFhr1wHUrxeZWEQff2Ji8fJ8ZOd+LygBkc7xGEJuTI42+
FsMuCIKchjN0djsoTI0DQoWz4rIjQtUfenVqGtF8qmchxDM6OW1TyaLtYiKou+JV
bJlsQ2uRl9EMC5MCHdK8aXdJ5htN978UeAOwproLtOGFfy/cQjutdAFI3tZs4RmY
CV4Ks2dH/hzg1cEo70qLRDEmBDeNiXQ2Lu+lIg+DdEmSx/cQwgwp+7e9un/jX9Wf
8qn0dNW44bOwgeThpWOjzOoEeJBuv/c=
-----END CERTIFICATE-----Kjo është pak a shumë. Faleminderit per vemendjen.
Burimi: www.habr.com