Lördagen den 30 maj 2020 uppstod ett inte omedelbart förstÄtt problem med populÀra SSL/TLS-certifikat frÄn leverantören Sectigo (tidigare Comodo). SjÀlva certifikaten förblev i perfekt ordning, men ett av de mellanliggande CA-certifikaten i de kedjor som dessa certifikat levererades med hade blivit dÄligt. Situationen Àr inte dödlig, men obehaglig: nuvarande versioner av webblÀsare mÀrkte ingenting, men de flesta automatiseringar och gamla webblÀsare/OS var inte redo för en sÄdan hÀndelseutveckling.
Habr var inget undantag, det Àr dÀrför detta utbildningsprogram / postmortem skrevs.
TL; DR Lösningen Àr i slutet.
LÄt oss hoppa över den grundlÀggande teorin om PKI, SSL/TLS, https etc. Mekaniken för autentisering med ett domÀnsÀkerhetscertifikat bestÄr av att bygga en kedja frÄn en serie certifikat till ett som webblÀsaren eller operativsystemet litar pÄ, vilka lagras i den sÄ kallade Trust Store. Den hÀr listan distribueras med operativsystemet, runtime-ekosystemet eller webblÀsaren. Alla certifikat har ett utgÄngsdatum, efter vilket de anses vara otillförlitliga, inklusive certifikat i förtroendearkivet. Hur sÄg förtroendekedjan ut innan den ödesdigra dagen? Ett webbverktyg hjÀlper oss att ta reda pÄ det frÄn Qualys.
SÄ, ett av de mest populÀra "kommersiella" certifikaten Àr Sectigo Positive SSL (tidigare kÀnt som Comodo Positive SSL, certifikat med detta namn anvÀnds fortfarande), det Àr ett sÄ kallat DV-certifikat. DV Àr den mest grundlÀggande certifieringsnivÄn, vilket innebÀr att utfÀrdaren av ett sÄdant certifikat har verifierad tillgÄng till domÀnhantering. Egentligen stÄr DV för "domÀnvalidering". Som referens: det finns ocksÄ OV (organisationsvalidering) och EV (extended validation), och gratiscertifikatet frÄn Let's Encrypt Àr ocksÄ DV. För de som av nÄgon anledning inte Àr nöjda med ACME-mekanismen Àr Positive SSL-produkten den mest lÀmpliga sett till pris/funktioner (ett endomÀncertifikat kostar cirka 5-7 USD per Är med en total giltighetstid pÄ upp till 2 Är och 3 mÄnader).
Tills nyligen kom det typiska Sectigo DV (RSA)-certifikatet med följande mellanliggande CA-kedja:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityDet finns inget "tredje certifikat" hĂ€r, sjĂ€lvsignerat frĂ„n AddTrust AB, eftersom det nĂ„gon gĂ„ng ansĂ„gs vara dĂ„ligt att inkludera sjĂ€lvsignerade rotcertifikat i kedjor. Observera att den mellanliggande CA som utfĂ€rdats av UserTrust frĂ„n AddTrust har ett utgĂ„ngsdatum 30 maj 2020. Detta Ă€r inte utan anledning, eftersom ett avvecklingsförfarande planerades för denna CA. Man trodde att den 30 maj 2020 skulle ett korssignerat certifikat frĂ„n UserTrust dyka upp i alla förtroendebutiker vid det hĂ€r laget (under huven Ă€r det samma certifikat, eller snarare den offentliga nyckeln) och kedjan, Ă€ven med det redan opĂ„litliga certifikatet inkluderat, skulle ha alternativa byggvĂ€gar och ingen skulle mĂ€rka det. Men planerna krossades av verkligheten, nĂ€mligen det breda begreppet âarvsystemâ. Faktum Ă€r att Ă€garna av nuvarande versioner av webblĂ€sare inte mĂ€rkte nĂ„gonting, men ett berg av automatisering byggt pĂ„ curl- och ssl/tls-bibliotek av ett antal programmeringssprĂ„k och miljöer för kodexekvering gick sönder. Det Ă€r viktigt att förstĂ„ att mĂ„nga produkter inte förlitar sig pĂ„ de inbyggda OS-verktygen för att bygga kedjor, utan "bĂ€r" med sig sin förtroendebutik. Och de innehĂ„ller inte alltid det du skulle vilja se. Ja och i Linux Paket som ca-certifikat Ă€r inte alltid uppdaterade. Allt verkar bra, men nĂ„got fungerar inte hĂ€r och dĂ€r.
Av figur 1 framgÄr att Àven om allt sÄg ut som vanligt för de allra flesta sÄ gick nÄgot sönder för nÄgon och trafiken sjönk mÀrkbart (vÀnster röd linje), sedan vÀxte den nÀr ett av nyckelcertifikaten byttes ut (höger linje). Det blev ocksÄ sprÀngningar i mitten, nÀr andra certifikat Àndrades, som nÄgot ocksÄ berodde pÄ. Eftersom för majoriteten allt visuellt fortsatte att fungera mer eller mindre normalt (förutom konstiga problem som omöjligheten att ladda upp bilder till Habrastorage), kan vi dra en indirekt slutsats om antalet Àldre klienter och botar pÄ Habr.
Figur 1. Trafikdiagram pÄ Habr.
Figur 2 visar hur den "alternativa" kedjan till det betrodda CA-certifikatet i anvÀndarens webblÀsare Àr byggd i nuvarande versioner av webblÀsare, Àven om det finns ett "ruttet" certifikat i kedjan. Detta, som Sectigo sjÀlv trodde, var sjÀlva anledningen till att inte göra nÄgonting.
Figur 2. Kedja till ett pÄlitligt certifikat för en modern webblÀsarversion.
Men i figur 3 kan du se hur allting faktiskt ser ut nÀr nÄgot gick fel och vi har ett Àldre system. I det hÀr fallet Àr HTTPS-anslutningen inte etablerad och vi ser ett fel som "certifikatvalidering misslyckades" eller nÄgot liknande.
Figur 3. Kedjan ogiltigförklarades eftersom rotcertifikatet och det mellanliggande certifikatet som den signerade var "ruttna".
I figur 4 ser vi redan en "lösning" för Àldre system: det finns ett annat mellancertifikat, eller snarare en "korssignatur" frÄn en annan CA, som vanligtvis Àr förinstallerad i Àldre system. Detta Àr vad du behöver göra: hitta det hÀr certifikatet (som Àr markerat som Extra nedladdning) och byt ut det "ruttna" mot det.
Figur 4. Alternativ kedja för Àldre system.
Förresten: problemet var inte allmÀnt publicerat eller diskuterat offentligt, inklusive pÄ grund av Sectigos överdrivna sjÀlvförtroende. HÀr Àr till exempel Äsikten frÄn en av certifikatutfÀrdarna i till denna situation:
Tidigare de [Sectigo] alla som Àr sÀker pÄ att inga problem kommer att vara. Men verkligheten Àr att vissa Àldre servrar/enheter pÄverkas.
Det Àr en löjlig situation. Vi pekade deras uppmÀrksamhet pÄ AddTrust RSA/ECC som löper ut flera gÄnger inom ett Är och varje gÄng Sectigo försÀkrade oss att inga problem kommer att uppstÄ.
frÄgade jag personligen pÄ Stack Overflow om detta för en mÄnad sedan, men tydligen Àr projektets publik inte sÀrskilt lÀmpad för sÄdana frÄgor, sÄ jag fick svara pÄ det sjÀlv efter att ha analyserat det.
sektigo Det finns en FAQ om detta Àmne, men den Àr sÄ olÀslig och lÄng att den Àr omöjlig att anvÀnda. HÀr Àr ett citat som Àr kvintessensen av hela publikationen:
Vad du behöver göra
För de flesta anvÀndningsfall, inklusive certifikat som betjÀnar moderna klient- eller serversystem, krÀvs ingen ÄtgÀrd, oavsett om du har utfÀrdat certifikat korskedjade till AddTrust-roten.FrÄn och med april 30, 2020: För affÀrsprocesser som Àr beroende av mycket gamla system har Sectigo gjort tillgÀnglig (som standard i certifikatpaketen) en ny Àldre rot för korssignering, roten "AAA Certificate Services". Var dock extremt försiktig med alla processer som beror pÄ mycket gamla Àldre system. System som inte har fÄtt de uppdateringar som krÀvs för att stödja nyare rötter som Sectigos COMODO-rot kommer oundvikligen att sakna andra viktiga sÀkerhetsuppdateringar och bör betraktas som osÀkra. Om du fortfarande vill korssignera till AAA Certificate Services-roten, kontakta Sectigo direkt.
Jag gillar verkligen den "vÀldigt gamla" tesen, förstÄs. Till exempel, curl i konsolen. Ubuntu Linux 18.04 LTS (vÄrt bas-OS för tillfÀllet) med de senaste uppdateringarna Àr inte Àldre Àn en mÄnad, det Àr svÄrt att kalla det sÀrskilt gammalt, men det fungerar inte.
De flesta certifikatdistributörer slÀppte sina beslutsnoteringar pÄ kvÀllen den 30 maj. Till exempel en mycket bra sÄdan i tekniska termer (med en specifik beskrivning av vad man ska göra och med fÀrdiga CA-buntar i zip-arkiv, men endast RSA):
Figur 5. Sju steg för att fixa allt snabbt.
Det finns frÄn Redhat, men allt dÀr Àr mer Legacy och du behöver installera ett Ànnu mer root-legacy-certifikat frÄn Comodo för att allt ska fungera.
beslutet
Det Àr vÀrt att duplicera lösningen Àven hÀr. Nedan finns tvÄ uppsÀttningar certifikatkedjor. DV Sectigo (inte Comodo!), en för de vÀlbekanta RSA-certifikaten, den andra för de mindre bekanta ECC (ECDSA)-certifikaten (vi har anvÀnt tvÄ kedjor ganska lÀnge). Med ECC var det svÄrare, eftersom de flesta lösningar inte tar hÀnsyn till förekomsten av sÄdana certifikat pÄ grund av deras lÄga prevalens. SÄ smÄningom hittades det erforderliga mellancertifikatet pÄ .
Kedja för certifikat baserad pÄ en nyckelalgoritm RSA. JÀmför med din kedja och notera att endast det nedre certifikatet har bytts ut, medan det översta förblir detsamma. Jag sÀrskiljer dem i vardagen med de tre sista tecknen i base64-blocken, utan att rÀkna likhetstecken (i det hÀr fallet, En8= О 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----
MIIGEzCCA/ugAwIBAgIQfVtRJrR2uhHbdBYLvFMNpzANBgkqhkiG9w0BAQwFADCB
iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0pl
cnNleSBDaXR5MR4wHAYDVQQKExVUaGUgVVNFUlRSVVNUIE5ldHdvcmsxLjAsBgNV
BAMTJVVTRVJUcnVzdCBSU0EgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTgx
MTAyMDAwMDAwWhcNMzAxMjMxMjM1OTU5WjCBjzELMAkGA1UEBhMCR0IxGzAZBgNV
BAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4GA1UEBxMHU2FsZm9yZDEYMBYGA1UE
ChMPU2VjdGlnbyBMaW1pdGVkMTcwNQYDVQQDEy5TZWN0aWdvIFJTQSBEb21haW4g
VmFsaWRhdGlvbiBTZWN1cmUgU2VydmVyIENBMIIBIjANBgkqhkiG9w0BAQEFAAOC
AQ8AMIIBCgKCAQEA1nMz1tc8INAA0hdFuNY+B6I/x0HuMjDJsGz99J/LEpgPLT+N
TQEMgg8Xf2Iu6bhIefsWg06t1zIlk7cHv7lQP6lMw0Aq6Tn/2YHKHxYyQdqAJrkj
eocgHuP/IJo8lURvh3UGkEC0MpMWCRAIIz7S3YcPb11RFGoKacVPAXJpz9OTTG0E
oKMbgn6xmrntxZ7FN3ifmgg0+1YuWMQJDgZkW7w33PGfKGioVrCSo1yfu4iYCBsk
Haswha6vsC6eep3BwEIc4gLw6uBK0u+QDrTBQBbwb4VCSmT3pDCg/r8uoydajotY
uK3DGReEY+1vVv2Dy2A0xHS+5p3b4eTlygxfFQIDAQABo4IBbjCCAWowHwYDVR0j
BBgwFoAUU3m/WqorSs9UgOHYm8Cd8rIDZsswHQYDVR0OBBYEFI2MXsRUrYrhd+mb
+ZsF4bgBjWHhMA4GA1UdDwEB/wQEAwIBhjASBgNVHRMBAf8ECDAGAQH/AgEAMB0G
A1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjAbBgNVHSAEFDASMAYGBFUdIAAw
CAYGZ4EMAQIBMFAGA1UdHwRJMEcwRaBDoEGGP2h0dHA6Ly9jcmwudXNlcnRydXN0
LmNvbS9VU0VSVHJ1c3RSU0FDZXJ0aWZpY2F0aW9uQXV0aG9yaXR5LmNybDB2Bggr
BgEFBQcBAQRqMGgwPwYIKwYBBQUHMAKGM2h0dHA6Ly9jcnQudXNlcnRydXN0LmNv
bS9VU0VSVHJ1c3RSU0FBZGRUcnVzdENBLmNydDAlBggrBgEFBQcwAYYZaHR0cDov
L29jc3AudXNlcnRydXN0LmNvbTANBgkqhkiG9w0BAQwFAAOCAgEAMr9hvQ5Iw0/H
ukdN+Jx4GQHcEx2Ab/zDcLRSmjEzmldS+zGea6TvVKqJjUAXaPgREHzSyrHxVYbH
7rM2kYb2OVG/Rr8PoLq0935JxCo2F57kaDl6r5ROVm+yezu/Coa9zcV3HAO4OLGi
H19+24rcRki2aArPsrW04jTkZ6k4Zgle0rj8nSg6F0AnwnJOKf0hPHzPE/uWLMUx
RP0T7dWbqWlod3zu4f+k+TY4CFM5ooQ0nBnzvg6s1SQ36yOoeNDT5++SR2RiOSLv
xvcRviKFxmZEJCaOEDKNyJOuB56DPi/Z+fVGjmO+wea03KbNIaiGCpXZLoUmGv38
sbZXQm2V0TP2ORQGgkE49Y9Y3IBbpNV9lXj9p5v//cWoaasm56ekBYdbqbe4oyAL
l6lFhd2zi+WJN44pDfwGF/Y4QA5C5BIG+3vzxhFoYt/jmPQT2BVPi7Fp2RBgvGQq
6jG35LWjOhSbJuMLe/0CjraZwTiXWTb2qHSihrZe68Zk6s+go/lunrotEbaGmAhY
LcmsJWTyXnW0OMGuf1pGg+pRyrbxmRE1a6Vqe8YAsOf4vmSyrcjC8azjUeqkk+B5
yOGBQMkKW+ESPMFgKuOXwIlCypTPRpgSabuY0MLTDXJLR27lk8QyKGOHQ+SwMj4K
00u/I5sUKUErmgQfky3xxzlIPK1aEn8=
-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Kedja för certifikat baserad pÄ en nyckelalgoritm ECC. PÄ samma sÀtt med kedjan för RSA ersattes bara det nedre certifikatet, och det övre förblev detsamma (i detta fall fmA== О v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Det Àr ganska mycket det. Tack för din uppmÀrksamhet.
KĂ€lla: will.com
