Mnamo Mei 30, muda wa uhalali wa miaka 20 wa cheti cha mizizi uliisha Ambayo kutoa cheti kilichotiwa saini katika mojawapo ya mamlaka kubwa ya uthibitisho ya Sectigo (Comodo). Utiaji saini mtambuka kwa uoanifu na vifaa vilivyopitwa na wakati ambavyo havikuwa na cheti kipya cha USERTRust kilichoongezwa kwenye hifadhi yao ya cheti cha mizizi.
Kinadharia, kusitishwa kwa cheti cha mizizi ya AddTrust kunafaa tu kusababisha ukiukaji wa upatanifu na mifumo ya urithi (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, n.k.), kwa kuwa cheti cha pili cha msingi kinachotumiwa katika sahihi zaidi kinasalia. vivinjari halali na vya kisasa huzingatia wakati wa kuangalia mlolongo wa uaminifu. Juu ya mazoezi Matatizo ya uthibitishaji wa sahihi zaidi katika viteja vya TLS visivyo na vivinjari, ikijumuisha zile zinazolingana na OpenSSL 1.0.x na GnuTLS. Muunganisho salama haujaanzishwa tena na hitilafu inayoonyesha kuwa cheti kimepitwa na wakati ikiwa seva inatumia cheti cha Sectigo kilichounganishwa na msururu wa uaminifu kwenye cheti cha mizizi cha AddTrust.
Ikiwa watumiaji wa vivinjari vya kisasa hawakugundua kutokuwepo kwa cheti cha mizizi ya AddTrust wakati wa kusindika vyeti vya Sectigo vilivyotiwa saini, basi shida zilianza kutokea katika programu mbali mbali za wahusika wengine na washughulikiaji wa upande wa seva, ambayo ilisababisha miundomsingi mingi inayotumia njia zilizosimbwa za mawasiliano kwa mwingiliano kati ya vipengee.
Kwa mfano, kulikuwa na na ufikiaji wa hazina zingine za kifurushi katika Debian na Ubuntu (apt ilianza kutoa kosa la uthibitishaji wa cheti), maombi kutoka kwa hati kwa kutumia huduma za "curl" na "wget" yalianza kutofaulu, makosa yalionekana wakati wa kutumia Git, Jukwaa la utiririshaji la Roku linafanya kazi, vidhibiti havijaitwa tena ΠΈ , imeanza katika programu za Heroku, Wateja wa OpenLDAP wanaunganishwa, matatizo ya kutuma barua kwa SMTPS na seva za SMTP zilizo na STARTTLS yanatambuliwa. Kwa kuongeza, matatizo yanazingatiwa katika maandishi mbalimbali ya Ruby, PHP na Python ambayo hutumia moduli na mteja wa http. Tatizo la kivinjari Epifania, ambayo iliacha kupakia orodha za kuzuia matangazo.
Programu za Go haziathiriwi na tatizo hili kwa sababu Go inatoa TLS.
kwamba shida inaathiri matoleo ya zamani ya usambazaji (pamoja na Debian 9, Ubuntu 16.04, ) ambayo hutumia matawi ya OpenSSL yenye shida, lakini shida pia wakati kidhibiti kifurushi cha APT kinapofanya kazi katika matoleo ya sasa ya Debian 10 na Ubuntu 18.04/20.04, kwani APT hutumia maktaba ya GnuTLS. Kiini cha tatizo ni kwamba maktaba nyingi za TLS/SSL huchanganua cheti kama msururu wa mstari, ilhali kulingana na RFC 4158, cheti kinaweza kuwakilisha grafu ya mviringo iliyosambazwa iliyo na nanga nyingi za uaminifu ambazo zinahitaji kuzingatiwa. Kuhusu dosari hii katika OpenSSL na GnuTLS . Katika OpenSSL shida ilirekebishwa katika tawi 1.1.1, na in mabaki .
Kama suluhisho, inashauriwa kuondoa cheti cha "AddTrust External CA Root" kwenye duka la mfumo (kwa mfano, ondoa kutoka /etc/ca-certificates.conf na /etc/ssl/certs, na kisha uendeshe "update-ca -certificates -f -v"), baada ya hapo OpenSSL huanza kwa kawaida kuchakata vyeti vilivyotiwa saini na ushiriki wake. Unapotumia kidhibiti kifurushi cha APT, unaweza kuzima uthibitishaji wa cheti kwa maombi ya mtu binafsi kwa hatari yako mwenyewe (kwa mfano, "apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false") .
Ili kuzuia shida ndani ΠΈ Inapendekezwa kuongeza cheti cha AddTrust kwenye orodha isiyoruhusiwa:
trust dump βfilter Β«pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=certΒ» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
update-ca-trust dondoo
Lakini njia hii kwa GnuTLS (kwa mfano, hitilafu ya uthibitishaji wa cheti inaendelea kuonekana wakati wa kuendesha matumizi ya wget).
Kwa upande wa seva unaweza kuorodhesha vyeti katika safu ya uaminifu iliyotumwa na seva kwa mteja (ikiwa cheti kinachohusishwa na "AddTrust External CA Root" kimeondolewa kwenye orodha, basi uthibitishaji wa mteja utafaulu). Ili kuangalia na kutoa msururu mpya wa uaminifu, unaweza kutumia huduma . Sectigo pia cheti mbadala cha kati kilichotiwa saini "", ambayo itakuwa halali hadi 2028 na itadumisha utangamano na matoleo ya zamani ya OS.
Nyongeza: Tatizo pia katika LibreSSL.
Chanzo: opennet.ru