ProHoster > blog > Utawala > Tatizo na vyeti vya Sectigo baada ya Mei 30, 2020 na njia ya suluhisho

Tatizo na vyeti vya Sectigo baada ya Mei 30, 2020 na njia ya suluhisho

Jumamosi Mei 30, 2020, tatizo ambalo halikufahamika mara moja lilizuka kuhusu vyeti maarufu vya SSL/TLS kutoka kwa muuzaji Sectigo (zamani Comodo). Vyeti vyenyewe viliendelea kuwa katika mpangilio mzuri, lakini cheti kimoja cha kati cha CA katika minyororo ambayo vyeti hivi vilitolewa kilikuwa kimeoza. Hali sio mbaya, lakini haifurahishi: matoleo ya sasa ya vivinjari hayakugundua chochote, lakini vivinjari vingi vya kiotomatiki na vya zamani / OS havikuwa tayari kwa zamu kama hiyo.

Tatizo na vyeti vya Sectigo baada ya Mei 30, 2020 na njia ya suluhisho

Habr hakuwa ubaguzi, ndiyo sababu programu hii ya elimu / postmortem iliandikwa.

TL; DR Suluhisho liko mwisho kabisa.

Hebu turuke nadharia ya msingi kuhusu PKI, SSL/TLS, https, nk. Mitindo ya uthibitishaji na cheti cha usalama cha kikoa inajumuisha kuunda msururu wa idadi ya vyeti hadi moja inayoaminika na kivinjari au mfumo wa uendeshaji, ambayo huhifadhiwa katika kinachojulikana kama Duka la Uaminifu. Orodha hii inasambazwa na mfumo wa uendeshaji, mfumo ikolojia wa wakati wa kufanya kazi, au kivinjari. Vyeti vyovyote vina tarehe ya mwisho wa matumizi, baada ya hapo vinachukuliwa kuwa visivyoaminika, ikiwa ni pamoja na vyeti katika duka la uaminifu. Je, mlolongo wa uaminifu ulionekanaje kabla ya siku ya maafa? Huduma ya wavuti itatusaidia kuitambua. Ripoti ya SSL kutoka Qualys.

Kwa hivyo, mojawapo ya vyeti maarufu vya "kibiashara" ni Sectigo Positive SSL (hapo awali iliitwa Comodo Positive SSL, vyeti vilivyo na jina hili bado vinatumika), ni kinachojulikana cheti cha DV. DV ndicho kiwango cha awali zaidi cha uthibitishaji, ambacho kinamaanisha kuangalia ufikiaji wa usimamizi wa kikoa kwa mtoaji wa cheti kama hicho. Kwa kweli, DV inasimamia "uthibitishaji wa kikoa". Kwa marejeleo: pia kuna OV (uthibitishaji wa shirika) na EV (uthibitishaji uliopanuliwa), na cheti cha bure kutoka Let's Encrypt pia ni DV. Kwa wale ambao kwa sababu fulani hawajaridhishwa na utaratibu wa ACME, bidhaa Chanya ya SSL ndiyo inayofaa zaidi kulingana na uwiano wa bei/vipengele (cheti cha kikoa kimoja kinagharimu takriban $5-7 kwa mwaka na jumla ya uhalali wa cheti cha hadi Miaka 2 na miezi 3).

Hadi hivi majuzi, cheti cha kawaida cha Sectigo DV (RSA) kilitolewa na mlolongo ufuatao wa CA za kati:

Certificate #1:
  Data:
    Version: 3 (0x2)
    Serial Number:
      7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
    Signature Algorithm: sha384WithRSAEncryption
      Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
      Validity
        Not Before: Nov  2 00:00:00 2018 GMT
        Not After : Dec 31 23:59:59 2030 GMT
      Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
  Data:
    Version: 3 (0x2)
    Serial Number:
      13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
    Signature Algorithm: sha384WithRSAEncryption
      Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
      Validity
        Not Before: May 30 10:48:38 2000 GMT
        Not After : May 30 10:48:38 2020 GMT
      Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority

Hakuna "cheti cha tatu", kilichojiandikisha kutoka kwa AddTrust AB, kwa kuwa wakati fulani ilizingatiwa kuwa tabia mbaya ni pamoja na vyeti vya mizizi ya kujiandikisha katika minyororo. Unaweza kutambua kuwa CA ya kati iliyotolewa na UserTrust kutoka AddTrust ina tarehe ya mwisho wa matumizi ya Mei 30, 2020. Hili si rahisi, kwa kuwa utaratibu wa kusitisha utumishi ulipangwa kwa ajili ya CA hii. Iliaminika kuwa kufikia Mei 30, 2020, cheti kilichotiwa saini kutoka kwa UserTrust kingekuwa kimeonekana katika maduka yote ya uaminifu kwa wakati huu (chini ya kofia ni cheti sawa, au tuseme ufunguo wa umma) na mnyororo, hata na cheti ambacho tayari hakiaminiki kimejumuishwa, kitakuwa na ujenzi wa njia mbadala na hakuna mtu atakayegundua. Hata hivyo, mipango ilivunjwa na ukweli, yaani neno lisilo wazi "mifumo ya urithi". Hakika, wamiliki wa matoleo ya sasa ya vivinjari hawakugundua chochote, lakini mlima wa otomatiki uliojengwa kwenye maktaba za curl na ssl/tls za lugha kadhaa za programu na mazingira ya utekelezaji wa nambari yalivunjika. Unahitaji kuelewa kuwa bidhaa nyingi haziongozwa na zana za ujenzi wa mnyororo zilizojengwa kwenye OS, lakini "kubeba" duka lao la uaminifu pamoja nao. Na huwa hazina kile ambacho ungependa kuona kila wakati Jukwaa la CA/Kivinjari. Na katika Linux, vifurushi kama vile vyeti vya ca-cheti hazisasiwi kila wakati. Mwishoni, kila kitu kinaonekana kuwa sawa, lakini kitu haifanyi kazi hapa na pale.

Kutoka kwa Mchoro wa 1 ni wazi kwamba ingawa kwa wengi kila kitu kilionekana kama kawaida, kwa wengine kitu kilivunjika na trafiki ilishuka kwa dhahiri (mstari mwekundu wa kushoto), basi ilikua wakati cheti kimoja muhimu kilibadilishwa (mstari wa kulia). Pia kulikuwa na spikes katikati, wakati vyeti vingine vilibadilishwa, ambayo kitu pia kilitegemea. Kwa kuwa kwa walio wengi kila kitu kiliendelea kufanya kazi kama kawaida au kidogo (isipokuwa hitilafu za ajabu kama vile kutoweza kupakia picha kwenye Habrastorage), tunaweza kutoa hitimisho lisilo la moja kwa moja kuhusu idadi ya wateja na roboti zilizopitwa na wakati kwenye Habr.

Tatizo na vyeti vya Sectigo baada ya Mei 30, 2020 na njia ya suluhishoKielelezo 1. Grafu ya trafiki kwenye Habre.

Kutoka kwenye Mchoro wa 2, unaweza kutathmini jinsi katika matoleo ya sasa ya vivinjari msururu wa "mbadala" unavyoundwa kwa cheti cha CA kinachoaminika kwenye kivinjari cha mtumiaji, hata kama kuna cheti "kilichooza" kwenye msururu. Hii, kama Sectigo yenyewe iliamini, ilikuwa sababu ya kutofanya chochote.

Tatizo na vyeti vya Sectigo baada ya Mei 30, 2020 na njia ya suluhishoKielelezo 2. Mlolongo kwa cheti cha kuaminika cha toleo la kisasa la kivinjari.

Lakini katika Mchoro wa 3 unaweza kuona jinsi kila kitu kinavyoonekana wakati kitu kitaenda vibaya na tuna mfumo wa urithi. Katika hali hii, muunganisho wa HTTPS haujaanzishwa na tunaona hitilafu kama vile "uthibitishaji wa cheti umeshindwa" au sawa.

Tatizo na vyeti vya Sectigo baada ya Mei 30, 2020 na njia ya suluhishoMchoro wa 3. Msururu huo haukutumika kwa sababu cheti cha mizizi na cheti cha kati kilichotiwa saini nacho "vilikuwa vimeoza."

Katika Mchoro wa 4 tayari tunaona "suluhisho" la mifumo iliyopitwa na wakati: kuna cheti kingine cha kati, au tuseme "sahihi mtambuka" kutoka kwa CA nyingine, ambayo kwa kawaida hutanguliwa katika mifumo ya urithi. Hiki ndicho unachohitaji kufanya: pata cheti hiki (ambacho kimewekwa alama ya Upakuaji wa Ziada) na ubadilishe kile "kilichooza".

Tatizo na vyeti vya Sectigo baada ya Mei 30, 2020 na njia ya suluhishoKielelezo 4. Mlolongo mbadala wa mifumo ya urithi.

Kwa njia: tatizo halikuwa na utangazaji mpana au mjadala wowote wa umma, ikiwa ni pamoja na kutokana na kiburi kikubwa cha Sectigo. Hapa, kwa mfano, ni maoni ya mmoja wa watoa cheti katika heshima kwa hali hii:

Hapo awali wao [Sectigo] kila mtu ambaye amehakikishiwa hakuna masuala yatakuwa. Hata hivyo, ukweli ni kwamba baadhi ya seva/vifaa vya urithi huathiriwa.

Hiyo ni hali ya kipuuzi. Tulielekeza mawazo yao kwa AddTrust RSA/ECC inayokwisha muda wake mara nyingi ndani ya mwaka mmoja na kila mara Sectigo ilipotuhakikishia hakuna matatizo yatakayotokea.

Mimi binafsi niliuliza swali kwenye Stack Overflow kuhusu hili mwezi mmoja uliopita, lakini inaonekana, hadhira ya mradi haifai sana kwa maswali kama haya, kwa hivyo ilibidi nijibu mwenyewe baada ya uchambuzi.

Sectigo iliyotolewa Kuna Maswali Yanayoulizwa Mara kwa Mara kuhusu hili, lakini halisomeki na ni ndefu kiasi kwamba haiwezekani kuitumia. Hapa kuna nukuu ambayo ni kiini cha uchapishaji wote:

Unachohitaji kufanya
Kwa matukio mengi ya matumizi, ikiwa ni pamoja na vyeti vinavyohudumia mifumo ya kisasa ya mteja au seva, hakuna hatua inayohitajika, iwe umetoa vyeti vilivyounganishwa kwa mnyororo wa AddTrust au la.

Kufikia Aprili 30, 2020: Kwa michakato ya biashara inayotegemea mifumo ya zamani sana, Sectigo imefanya kupatikana (kwa chaguomsingi katika vifurushi vya cheti) mzizi mpya wa urithi wa kutia saini, mzizi wa "Huduma za Cheti cha AAA". Hata hivyo, tafadhali tumia tahadhari kali kuhusu mchakato wowote unaotegemea mifumo ya zamani sana. Mifumo ambayo haijapokea masasisho yanayohitajika ili kuauni mizizi mpya zaidi kama vile mzizi wa COMODO ya Sectigo itakosa masasisho mengine muhimu ya usalama na inapaswa kuchukuliwa kuwa si salama. Ikiwa bado ungependa kutia saini kwenye mzizi wa Huduma za Cheti cha AAA, tafadhali wasiliana na Sectigo moja kwa moja.

Ninapenda sana thesis "ya zamani sana", kwa kweli. Kwa mfano, curl kwenye koni ya Ubuntu Linux 18.04 LTS (OS yetu ya msingi kwa sasa) na visasisho vya hivi karibuni hakuna zaidi ya mwezi haiwezi kuitwa mzee sana, lakini haifanyi kazi.

Wasambazaji wengi wa cheti walitoa maelezo yao ya uamuzi mwishoni mwa alasiri ya tarehe 30 Mei. Kwa mfano, kitaalam sana yanafaa kutoka JinaCheap (pamoja na maelezo mahususi ya nini cha kufanya na vifurushi vya CA vilivyotengenezwa tayari kwenye kumbukumbu za zip, lakini RSA pekee):

Tatizo na vyeti vya Sectigo baada ya Mei 30, 2020 na njia ya suluhishoKielelezo 5. Hatua saba za kurekebisha kila kitu haraka.

Kuna makala nzuri kutoka kwa Redhat, lakini kila kitu ni Urithi zaidi na unahitaji kusakinisha cheti cha urithi wa mizizi kutoka Comodo ili kila kitu kifanye kazi.

uamuzi

Inafaa kuiga suluhisho hapa pia. Chini ni seti mbili za minyororo ya cheti DV Sectigo (si Comodo!), kimoja cha vyeti vya kawaida vya RSA, kingine kwa vyeti visivyojulikana sana vya ECC (ECDSA) (tumekuwa tukitumia minyororo miwili kwa muda mrefu). Na ECC ilikuwa ngumu zaidi, kwani suluhisho nyingi hazizingatii uwepo wa vyeti kama hivyo kwa sababu ya kiwango chao cha chini. Matokeo yake, cheti cha kati kinachohitajika kilipatikana crt.sh.

Mlolongo wa vyeti kulingana na kanuni muhimu RSA. Linganisha na mnyororo wako na kumbuka kuwa cheti cha chini pekee ndicho kimebadilishwa, wakati kile cha juu kinabaki sawa. Ninawatofautisha katika hali ya kila siku na herufi tatu za mwisho za vitalu vya msingi64, bila kuhesabu ishara "sawa" (katika kesi hii. En8= ΠΈ 1+V):

# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Mlolongo wa vyeti kulingana na kanuni muhimu ECC. Vile vile na mnyororo wa RSA, cheti cha chini tu kilibadilishwa, na cha juu kilibaki sawa (katika kesi hii. fmA== ΠΈ v/c=):

# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Hiyo ni nzuri sana. Asante kwa umakini wako.

Chanzo: mapenzi.com