மே 30 அன்று, ரூட் சான்றிதழின் 20 ஆண்டு செல்லுபடியாகும் காலம் முடிவடைந்தது , இது மிகப்பெரிய சான்றிதழ் அதிகாரிகளில் ஒன்றான செக்டிகோ (கொமோடோ) சான்றிதழ்களில் குறுக்கு கையொப்பமிடப்பட்ட ஒன்றை உருவாக்க. புதிய USERTRust ரூட் சான்றிதழை அவற்றின் ரூட் சான்றிதழ் ஸ்டோரில் சேர்க்காத மரபு சாதனங்களுடன் இணக்கத்தன்மைக்கு குறுக்கு-கையொப்பமிடுதல் அனுமதிக்கப்படுகிறது.
கோட்பாட்டளவில், AddTrust ரூட் சான்றிதழை நிறுத்துவது மரபு அமைப்புகளுடன் (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, முதலியன) இணக்கத்தை மீறுவதற்கு வழிவகுக்கும், ஏனெனில் குறுக்கு கையொப்பத்தில் பயன்படுத்தப்பட்ட இரண்டாவது ரூட் சான்றிதழ் உள்ளது. நம்பகமான மற்றும் நவீன உலாவிகள் நம்பிக்கைச் சங்கிலியைச் சரிபார்க்கும்போது அதை கணக்கில் எடுத்துக்கொள்கின்றன. நடைமுறையில் OpenSSL 1.0.x மற்றும் GnuTLS அடிப்படையிலானவை உட்பட, உலாவி அல்லாத TLS கிளையண்டுகளில் குறுக்கு கையொப்ப சரிபார்ப்பில் உள்ள சிக்கல்கள். AddTrust ரூட் சான்றிதழுடன் நம்பிக்கையின் சங்கிலியால் இணைக்கப்பட்ட Sectigo சான்றிதழை சர்வர் பயன்படுத்தினால், சான்றிதழ் காலாவதியானது என்பதைக் குறிக்கும் பிழையுடன் பாதுகாப்பான இணைப்பு நிறுவப்படாது.
குறுக்கு-கையொப்பமிடப்பட்ட செக்டிகோ சான்றிதழ்களைச் செயலாக்கும்போது, நவீன உலாவிகளின் பயனர்கள் AddTrust ரூட் சான்றிதழின் வழக்கற்றுப் போவதைக் கவனிக்கவில்லை என்றால், பல்வேறு மூன்றாம் தரப்பு பயன்பாடுகள் மற்றும் சர்வர்-சைட் ஹேண்ட்லர்களில் சிக்கல்கள் தோன்றத் தொடங்கின. கூறுகளுக்கு இடையேயான தொடர்புக்கு மறைகுறியாக்கப்பட்ட தகவல் தொடர்பு சேனல்களைப் பயன்படுத்தும் பல உள்கட்டமைப்புகள்.
உதாரணமாக, இருந்தன Debian மற்றும் Ubuntu இல் உள்ள சில தொகுப்பு களஞ்சியங்களுக்கான அணுகலுடன் (apt ஒரு சான்றிதழ் சரிபார்ப்பு பிழையை உருவாக்கத் தொடங்கியது), "கர்ல்" மற்றும் "wget" பயன்பாடுகளைப் பயன்படுத்தும் ஸ்கிரிப்ட்களின் கோரிக்கைகள் தோல்வியடையத் தொடங்கின, Git ஐப் பயன்படுத்தும் போது பிழைகள் காணப்பட்டன, Roku ஸ்ட்ரீமிங் இயங்குதளம் வேலை செய்கிறது, கையாளுபவர்கள் இனி அழைக்கப்பட மாட்டார்கள் и , தொடங்கியது Heroku பயன்பாடுகளில், OpenLDAP கிளையண்டுகள் இணைக்கப்படுகின்றன, SMTPS மற்றும் SMTP சேவையகங்களுக்கு STARTTLS உடன் அஞ்சல் அனுப்புவதில் சிக்கல்கள் கண்டறியப்பட்டன. கூடுதலாக, http கிளையண்டுடன் ஒரு தொகுதியைப் பயன்படுத்தும் பல்வேறு ரூபி, PHP மற்றும் பைதான் ஸ்கிரிப்ட்களில் சிக்கல்கள் காணப்படுகின்றன. உலாவி பிரச்சனை எபிபானி, விளம்பரத் தடுப்புப் பட்டியல்களை ஏற்றுவதை நிறுத்தியது.
Go சலுகைகள் இருப்பதால், இந்த பிரச்சனையால் Go திட்டங்கள் பாதிக்கப்படாது TLS.
பிரச்சனை பழைய விநியோக வெளியீடுகளை பாதிக்கிறது (டெபியன் 9, உபுண்டு 16.04 உட்பட, ) இது பிரச்சனைக்குரிய OpenSSL கிளைகளைப் பயன்படுத்துகிறது, ஆனால் பிரச்சனை APT தொகுப்பு மேலாளர் Debian 10 மற்றும் Ubuntu 18.04/20.04 இன் தற்போதைய வெளியீடுகளில் இயங்கும் போது, APT GnuTLS நூலகத்தைப் பயன்படுத்துகிறது. பிரச்சனையின் முக்கிய அம்சம் என்னவென்றால், பல TLS/SSL நூலகங்கள் ஒரு சான்றிதழை நேரியல் சங்கிலியாகப் பாகுபடுத்துகின்றன, அதேசமயம் RFC 4158 இன் படி, ஒரு சான்றிதழானது, கணக்கில் எடுத்துக்கொள்ளப்பட வேண்டிய பல நம்பிக்கை அறிவிப்பாளர்களுடன் நேரடியாக விநியோகிக்கப்பட்ட வட்ட வரைபடத்தைக் குறிக்கும். OpenSSL மற்றும் GnuTLS இல் உள்ள இந்த குறைபாடு பற்றி . OpenSSL இல் கிளை 1.1.1, மற்றும் இன் இல் சிக்கல் சரி செய்யப்பட்டது எஞ்சியுள்ளது .
ஒரு தீர்வாக, கணினி அங்காடியில் இருந்து “AddTrust External CA ரூட்” சான்றிதழை அகற்ற பரிந்துரைக்கப்படுகிறது (எடுத்துக்காட்டாக, /etc/ca-certificates.conf மற்றும் /etc/ssl/certs இலிருந்து அகற்றி, பின்னர் “update-ca ஐ இயக்கவும். -certificates -f -v"), அதன் பிறகு OpenSSL ஆனது பொதுவாக குறுக்கு கையொப்பமிடப்பட்ட சான்றிதழ்களை அதன் பங்கேற்புடன் செயலாக்கத் தொடங்குகிறது. APT தொகுப்பு நிர்வாகியைப் பயன்படுத்தும் போது, உங்கள் சொந்த ஆபத்தில் தனிப்பட்ட கோரிக்கைகளுக்கான சான்றிதழ் சரிபார்ப்பை முடக்கலாம் (எடுத்துக்காட்டாக, “apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false”) .
சிக்கலைத் தடுக்க и தடுப்புப்பட்டியலில் AddTrust சான்றிதழைச் சேர்க்க முன்மொழியப்பட்டுள்ளது:
trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
update-ca-trust சாறு
ஆனால் இந்த முறை GnuTLS க்கு (உதாரணமாக, wget பயன்பாட்டை இயக்கும் போது ஒரு சான்றிதழ் சரிபார்ப்பு பிழை தொடர்ந்து தோன்றும்).
சர்வர் பக்கத்தில் உங்களால் முடியும் கிளையண்டிற்கு சேவையகத்தால் அனுப்பப்பட்ட நம்பிக்கைச் சங்கிலியில் உள்ள சான்றிதழ்களைப் பட்டியலிடுதல் (“AddTrust External CA ரூட்” உடன் தொடர்புடைய சான்றிதழ் பட்டியலிலிருந்து அகற்றப்பட்டால், கிளையண்டின் சரிபார்ப்பு வெற்றிகரமாக இருக்கும்). புதிய நம்பிக்கைச் சங்கிலியைச் சரிபார்த்து உருவாக்க, நீங்கள் சேவையைப் பயன்படுத்தலாம் . செக்டிகோவும் மாற்று குறுக்கு கையொப்பமிடப்பட்ட இடைநிலை சான்றிதழ் "“, இது 2028 வரை செல்லுபடியாகும் மற்றும் OS இன் பழைய பதிப்புகளுடன் இணக்கத்தன்மையை பராமரிக்கும்.
கூடுதலாக: பிரச்சனையும் கூட LibreSSL இல்.
ஆதாரம்: opennet.ru