Ka la 30 Motšeanong, nako ea lilemo tse 20 ea bonnete ba setifikeiti sa motso e felile , e leng ho hlahisa setifikeiti se saenneng sa e 'ngoe ea litsi tse kholo ka ho fetisisa tsa setifikeiti tsa Sectigo (Comodo). Ho saena ho lumelletsoe ho sebelisana le lisebelisoa tsa khale tse neng li se na setifikeiti se secha sa USERTRust se kentsoeng lebenkeleng la bona la setifikeiti sa metso.
Ka khopolo, ho felisoa ha setifikeiti sa motso sa AddTrust ho lokela ho lebisa ho tlolo ea ts'ebelisano le litsamaiso tsa lefa (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, joalo-joalo), kaha setifikeiti sa bobeli sa motso se sebelisitsoeng ho saena se ntse se le teng. libatli tse sebetsang le tsa sejoale-joale li e ela hloko ha li hlahloba ketane ea tšepo. Ka boikwetliso Mathata ka netefatso ya mesaeno ho bareki bao e seng ba sebatli ba TLS, ho kenyeletswa le ba thehilweng ho OpenSSL 1.0.x le GnuTLS. Khokahano e sireletsehileng ha e sa thehoa ka phoso e bontšang hore setifikeiti se siiloe ke nako haeba seva se sebelisa setifikeiti sa Sectigo se hokahantsoeng ke ketane ea tšepo ho setifikeiti sa motso sa AddTrust.
Haeba basebelisi ba libatli tsa sejoale-joale ba sa hlokomele ho felloa ke matla ha setifikeiti sa motso oa AddTrust ha ba ntse ba sebetsana le litifikeiti tsa Sectigo tse saenneng, mathata a ile a qala ho hlaha lits'ebetsong tse fapaneng tsa mokha oa boraro le li-server, tse ileng tsa lebisa ho meaho e mengata e sebelisang mecha ea puisano e patiloeng bakeng sa tšebelisano lipakeng tsa likarolo.
Ka mohlala, ho ne ho e-na le ka phihlello ea liphutheloana tse ling tsa liphutheloana ho Debian le Ubuntu (apt e qalile ho hlahisa phoso ea netefatso ea setifikeiti), likopo tse tsoang litokomaneng tse sebelisang lisebelisoa tsa "curl" le "wget" li ile tsa qala ho hloleha, liphoso li ile tsa bonoa ha ho sebelisoa Git, Sethala sa ho phallela sa Roku se ntse se sebetsa, batho ba sebetsang ha ba sa bitsoa и , qadile ho lisebelisoa tsa Heroku, Basebelisi ba OpenLDAP ba hokela, mathata a ho romella mangolo ho SMTPS le li-server tsa SMTP tse nang le STARTTLS a bonoa. Ntle le moo, mathata a bonoa mengolong e fapaneng ea Ruby, PHP le Python e sebelisang mojule le moreki oa http. Bothata ba sebatli Epiphany, e emisitseng ho kenya manane a thibelang lipapatso.
Mananeo a Go ha a angoe ke bothata bona hobane Go fana TLS.
hore bothata bo ama likhatiso tsa khale tsa kabo (ho kenyeletsoa Debian 9, Ubuntu 16.04, ) tse sebelisang makala a OpenSSL a nang le bothata, empa bothata hape ha mookameli oa sephutheloana sa APT a ntse a sebetsa likhatisong tsa hajoale tsa Debian 10 le Ubuntu 18.04/20.04, kaha APT e sebelisa laeborari ea GnuTLS. Moko oa bothata ke hore lilaebrari tse ngata tsa TLS/SSL li fana ka setifikeiti joalo ka ketane e melang, athe ho latela RFC 4158, setifikeiti se ka emela graph e chitja e phatlalalitsoeng e nang le liankora tse ngata tsa trust tse hlokang ho tsotelloa. Mabapi le phoso ena ho OpenSSL le GnuTLS . Ho OpenSSL bothata bo ile ba lokisoa lekaleng la 1.1.1, le ho masalla .
E le mokhoa oa ho lokisa, ho kgothaletswa ho tlosa setifikeiti sa "AddTrust External CA Root" lebenkeleng la tsamaiso (mohlala, tlosa ho /etc/ca-certificates.conf le /etc/ssl/certs, ebe o matha "update-ca -certificates -f -v"), ka mor'a moo OpenSSL e qala ho sebetsa ka tloaelo litifikeiti tse saenneng ka ho nka karolo ha eona. Ha o sebelisa molaoli oa sephutheloana sa APT, o ka thibela netefatso ea setifikeiti bakeng sa likopo tsa motho ka mong ka boikhethelo ba hao (mohlala, “apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false”) .
Ho thibela bothata ho и Ho khothaletsoa ho kenyelletsa setifikeiti sa AddTrust lenaneng le batšo:
trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
update-ca-trust extract
Empa mokhoa ona bakeng sa GnuTLS (mohlala, phoso ea netefatso ea setifikeiti e ntse e tsoela pele ho hlaha ha o sebelisa ts'ebeliso ea wget).
Ka lehlakoreng la seva u ka khona ho thathamisa litifikeiti ho ketane ea trust e rometsoeng ke seva ho moreki (haeba setifikeiti se amanang le "AddTrust External CA Root" se tlositsoe lethathamong, joale netefatso ea moreki e tla atleha). Ho hlahloba le ho hlahisa ketane e ncha ea tšepo, u ka sebelisa tšebeletso . Sectigo hape setifikeiti se seng sa mahareng se saenneng "", e tla sebetsa ho fihlela 2028 mme e tla boloka e lumellana le mefuta ea khale ea OS.
Keketso: Bothata le bona ho LibreSSL.
Source: opennet.ru