Рӯзи шанбеи 30 майи соли 2020 бо шаҳодатномаҳои машҳури SSL/TLS аз фурӯшандаи Sectigo (собиқ Comodo) як мушкили норавшан ба миён омад. Худи сертификатҳо дар ҳолати комил буданд, аммо яке аз шаҳодатномаҳои мобайнии CA дар занҷирҳое, ки ин шаҳодатномаҳо бо онҳо дода шуда буданд, пӯсида буд. Вазъият марговар нест, аммо ногувор аст: версияҳои ҷории браузерҳо чизеро мушоҳида накарданд, аммо аксари автоматизатсия ва браузерҳои кӯҳна/OS ба чунин гардиш омода набуданд.
Ҳабр истисно набуд, бинобар ин ин барномаи таълимӣ / баъди марг навишта шудааст.
ХИБ; DR Ҳалли он дар ниҳоят аст.
Биёед назарияи асосиро дар бораи PKI, SSL/TLS, https ва ғайра гузорем. Механикаи аутентификатсия бо сертификати амнияти домен аз сохтани занҷири як қатор сертификатҳое иборат аст, ки то як шаҳодатномае, ки браузер ё системаи оператсионии ба истилоҳ боваринокро дар Дӯкони боваринок нигоҳ медоранд. Ин рӯйхат бо системаи оператсионӣ, экосистемаи вақти корӣ ё браузер тақсим карда мешавад. Ҳама гуна шаҳодатномаҳо мӯҳлати анҷоми кор доранд, ки пас аз он онҳо эътимоднок ҳисобида мешаванд, аз ҷумла шаҳодатномаҳо дар мағозаи боварӣ. Занчири боварй пеш аз рузи тацдир чй гуна буд? Барномаи веб ба мо дар фаҳмидани он кӯмак мекунад. аз Qualys.
Ҳамин тариқ, яке аз маъмултарин шаҳодатномаҳои "тиҷоратӣ" Sectigo Positive SSL мебошад (қаблан Comodo Positive SSL ном дошт, сертификатҳо бо ин ном ҳоло ҳам истифода мешаванд), он шаҳодатномаи DV мебошад. DV сатҳи ибтидоии сертификатсия мебошад, ки маънои тафтиши дастрасӣ ба идоракунии доменро барои эмитенти чунин сертификат дорад. Дар асл, DV маънои "тасдиқи домен" -ро дорад. Барои маълумот: инчунин OV (validation Organisation) ва EV (validation extended) мавҷуданд ва сертификати ройгон аз Let's Encrypt низ DV мебошад. Барои онҳое, ки бо ягон сабаб аз механизми ACME қаноатманд нестанд, маҳсулоти Positive SSL аз рӯи таносуби нарх/хусусият мувофиқтарин аст (шаҳодатномаи як домен дар як сол тақрибан 5-7 доллар арзиш дорад ва эътибори умумии сертификат то то 2 долларро ташкил медиҳад. 3 солу XNUMX мох).
То ба наздикӣ, сертификати стандартии Sectigo DV (RSA) бо занҷири зерини CA-ҳои фосилавӣ таъмин карда мешуд:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityЯгон "шаҳодатномаи сеюм" вуҷуд надорад, ки худ имзошуда аз AddTrust AB аст, зеро дар баъзе вақтҳо дохил кардани шаҳодатномаҳои решаи худ имзошуда ба занҷирҳо одоби бад ҳисобида мешуд. Шумо метавонед қайд кунед, ки CA-и фосилавии аз ҷониби UserTrust аз AddTrust додашуда санаи ба итмом расидани 30 майи соли 2020 дорад. Ин кори осон нест, зеро барои ин CA тартиби барҳамдиҳӣ ба нақша гирифта шуда буд. Гумон мерафт, ки то 30 майи соли 2020, сертификати салиб имзошудаи UserTrust то ин вақт дар ҳама мағозаҳои боварӣ пайдо мешавад (дар зери сарпӯши он ҳамон шаҳодатнома, дурусттараш калиди ҷамъиятӣ) ва занҷир ҳатто бо Шаҳодатномаи аллакай беэътимод дохил карда шудааст, роҳҳои алтернативии сохтмониро доранд ва ҳеҷ кас онро пайхас намекунад. Бо вуҷуди ин, нақшаҳо аз ҷониби воқеият, яъне истилоҳи норавшан "системаҳои меросӣ" барбод рафтанд. Дарвоқеъ, соҳибони версияҳои ҷории браузерҳо чизеро пай набурданд, аммо кӯҳи автоматикунонӣ, ки дар китобхонаҳои curl ва ssl/tls як қатор забонҳои барномасозӣ ва муҳитҳои иҷрои код сохта шудаанд, шикаст. Шумо бояд фаҳмед, ки бисёре аз маҳсулотҳо на аз асбобҳои сохтани занҷирҳо, ки дар ОС сохта шудаанд, роҳнамоӣ мекунанд, балки мағозаи эътимоди худро бо худ "баранд". Ва онҳо на ҳамеша он чизеро, ки шумо дидан мехоҳед, дар бар мегиранд . Ва дар Linux, бастаҳо ба монанди сертификатҳо на ҳамеша нав карда мешаванд. Дар ниҳоят, ба назар чунин менамояд, ки ҳама чиз дар тартиб аст, аммо чизе дар ин ҷо ва он ҷо кор намекунад.
Аз расми 1 маълум мешавад, ки гарчанде ки барои аксарияти мутлақи ҳама чиз маъмулӣ менамуд, барои баъзеҳо чизе шикаста ва ҳаракати трафик ба таври назаррас коҳиш ёфт (хати сурхи чап), пас ҳангоми иваз кардани яке аз шаҳодатномаҳои калидӣ (хати рост) он афзоиш ёфт. Дар мобайн инчунин хӯшаҳо пайдо шуданд, вақте ки шаҳодатномаҳои дигар иваз карда шуданд, ки чизе аз онҳо низ вобаста буд. Азбаски барои аксарият ҳама чиз ба таври визуалӣ ба таври мӯътадил кор мекард (ба истиснои хатогиҳои аҷиб, ба монанди қобилияти бор кардани тасвирҳо дар Habrastorage), мо метавонем дар бораи шумораи муштариёни меросӣ ва ботҳо дар Habr хулоса барем.
Тасвири 1. Графикаи ҳаракат дар Ҳабре.
Аз расми 2, шумо метавонед арзёбӣ кунед, ки чӣ тавр дар версияҳои ҷории браузерҳо занҷири "алтернативӣ" ба шаҳодатномаи CA боэътимоди браузери корбар сохта мешавад, ҳатто агар дар занҷир шаҳодатномаи "пӯсида" мавҷуд бошад. Ин, чунон ки худи Сектиго бовар дошт, худи хамин сабаб буд, ки коре накунем.
Расми 2. Занҷир ба шаҳодатномаи боэътимоди версияи муосири браузер.
Аммо дар расми 3 шумо мебинед, ки ҳама чиз воқеан чӣ гуна ба назар мерасад, вақте ки чизе хато мекунад ва мо системаи меросӣ дорем. Дар ин ҳолат, пайвасти HTTPS муқаррар карда нашудааст ва мо хатоеро ба монанди "таъйидкунии сертификат ноком шуд" ё шабеҳ мебинем.
Расми 3. Занҷир аз он сабаб беэътибор дониста шуд, ки шаҳодатномаи реша ва шаҳодатномаи мобайнӣ бо имзои он "пӯсида" буданд.
Дар расми 4 мо аллакай як "ҳалли" системаҳои кӯҳнаро мебинем: шаҳодатномаи дигари мобайнӣ, дурусттараш "имзои салиб" аз CA-и дигар вуҷуд дорад, ки одатан дар системаҳои кӯҳна пешакӣ насб карда мешавад. Ин аст он чизе ки шумо бояд кунед: ин сертификатро пайдо кунед (ки ҳамчун зеркашии иловагӣ қайд карда шудааст) ва "пӯсида"-ро бо он иваз кунед.
Расми 4. Занҷири алтернативӣ барои системаҳои кӯҳна.
Дар омади гап: мушкилот дар бораи таблиғи васеъ ё ягон муҳокимаи ҷамъиятӣ набуд, аз ҷумла аз сабаби худсарии аз ҳад зиёди Сектиго. Дар ин ҷо, масалан, андешаи яке аз провайдерҳои сертификат дар ба ин вазъият:
Пештар онхо [Sectigo] ҳар касе, ки итминон дорад, ҳеҷ мушкиле нахоҳад буд. Аммо, воқеият ин аст, ки баъзе серверҳо / дастгоҳҳои кӯҳна таъсир мерасонанд.
Ин як вазъияти хандаовар аст. Мо таваҷҷуҳи онҳоро дар тӯли як сол чанд маротиба ба мӯҳлати ба охир расидани AddTrust RSA/ECC ишора кардем ва ҳар дафъае, ки Sectigo моро итминон дод, ки ҳеҷ мушкиле нахоҳад буд.
Ман шахсан пурсидам дар бораи Stack Overflow як моҳ пеш, аммо аз афташ, аудиторияи лоиҳа барои чунин саволҳо чандон мувофиқ нест, аз ин рӯ ман маҷбур шудам, ки пас аз таҳлил худам ба он ҷавоб диҳам.
Сектиго Дар ин бора саволу ҷавоб вуҷуд дорад, аммо он чунон нохонда ва тӯлонӣ аст, ки истифодаи он ғайриимкон аст. Дар ин ҷо як иқтибосест, ки матолиби тамоми нашрия аст:
Чӣ ба шумо лозим аст
Барои аксари ҳолатҳои истифода, аз ҷумла сертификатҳое, ки ба системаҳои муосири муштарӣ ё сервер хидмат мерасонанд, ҳеҷ гуна амал талаб карда намешавад, новобаста аз он ки шумо шаҳодатномаҳои занҷирбандиро ба решаи AddTrust додаед ё не.То 30 апрели соли 2020: Барои равандҳои тиҷорӣ, ки аз системаҳои хеле кӯҳна вобастаанд, Sectigo решаи нави меросиро барои имзои байниҳамдигарӣ, решаи "Хадамоти сертификати AAA" дастрас кардааст. Бо вуҷуди ин, лутфан дар бораи ҳама гуна раванде, ки аз системаҳои кӯҳнаи кӯҳна вобаста аст, хеле эҳтиёткор бошед. Системаҳое, ки навсозиҳои заруриро барои дастгирии решаҳои навтар ба мисли решаи COMODO Sectigo нагирифтаанд, ногузир дигар навсозиҳои муҳими амниятро аз даст медиҳанд ва бояд ноамн ҳисобида шаванд. Агар шумо ба ҳар ҳол хоҳед, ки ба решаи AAA Certificate Services ворид шавед, лутфан мустақиман бо Sectigo тамос гиред.
Ба ман рисолаи «хеле кӯҳна» хеле маъқул аст, албатта. Масалан, curl дар консоли Ubuntu Linux 18.04 LTS (дар айни замон OS-и асосии мо) бо навсозиҳои охирин, ки аз як моҳ калонтар нестанд, хеле кӯҳна номидан душвор аст, аммо он кор намекунад.
Аксари паҳнкунандагони сертификатҳо ёддоштҳои тасмими худро дар нимаи дуюми рӯзи 30 май интишор карданд. Масалан, аз чихати техникй хеле мувофик аст (бо тавсифи мушаххаси чӣ бояд кард ва бо бастаҳои тайёри CA дар бойгониҳои ZIP, аммо танҳо RSA):
Расми 5. Ҳафт қадам барои зуд ислоҳ кардани ҳама чиз.
вуҷуд доранд аз Redhat, аммо ҳама чиз Легаси бештар аст ва ба шумо лозим аст, ки сертификати мероси решаи боз ҳам бештар аз Comodo насб кунед, то ҳама чиз кор кунад.
ҳалли
Дар ин ҷо ҳам ҳалли худро такрор кардан меарзад. Дар зер ду маҷмӯи занҷирҳои сертификатҳо мавҷуданд DV Sectigo (на Comodo!), яке барои шаҳодатномаҳои муқаррарии RSA, дигаре барои шаҳодатномаҳои камтар шинос ECC (ECDSA) (мо муддати тӯлонӣ ду занҷирро истифода мебарем). Бо ECC ин мушкилтар буд, зеро аксари қарорҳо мавҷудияти чунин шаҳодатномаҳоро аз сабаби паҳншавии пасти онҳо ба назар намегиранд. Дар натиҷа, шаҳодатномаи мобайнии зарурӣ дар бораи пайдо шуд .
Занҷираи сертификатҳо дар асоси алгоритми калидӣ RSA. Бо занҷири худ муқоиса кунед ва қайд кунед, ки танҳо шаҳодатномаи поёнӣ иваз карда шудааст, дар ҳоле ки сертификати боло бетағйир мемонад. Ман онҳоро дар шароити ҳаррӯза бо се аломати охирини блокҳои base64 фарқ мекунам, бо назардошти аломати "баробар" (дар ин ҳолат) En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Занҷираи сертификатҳо дар асоси алгоритми калидӣ ЭКК. Ба ҳамин монанд бо занҷири RSA, танҳо шаҳодатномаи поёнӣ иваз карда шуд ва шаҳодатномаи болоӣ бетағйир монд (дар ин ҳолат fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Ин хеле зиёд аст. Ба диққататон ташаккур.
Манбаъ: will.com