Рӯзи 30 май мӯҳлати 20 соли эътибори шаҳодатномаи реша ба охир расид , ки барои тавлиди шаҳодатномаҳои имзошудаи яке аз бузургтарин мақомоти сертификатсия Sectigo (Comodo). Имзои байниҳамдигарӣ имкон дод, ки мувофиқат бо дастгоҳҳои кӯҳна, ки шаҳодатномаи решаи нави USERTRust ба мағозаи шаҳодатномаи решаи онҳо илова карда нашудаанд.
Аз ҷиҳати назариявӣ, қатъ кардани сертификати решаи AddTrust бояд танҳо ба вайрон кардани мутобиқат бо системаҳои кӯҳна оварда расонад (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 ва ғайра), зеро шаҳодатномаи решаи дуюми дар имзои кросс истифодашаванда боқӣ мемонад. браузерҳои эътибор ва муосир ҳангоми тафтиши занҷири эътимод онро ба назар мегиранд. Дар амалия Мушкилоти тафтиши байниимзо дар муштариёни ғайрибраузери TLS, аз ҷумла онҳое, ки дар асоси OpenSSL 1.0.x ва GnuTLS. Пайвасти бехатар дигар бо хатогие муқаррар карда намешавад, ки шаҳодатнома кӯҳна шудааст, агар сервер сертификати Sectigo-ро истифода барад, ки бо занҷири эътимод ба сертификати решаи AddTrust пайваст шудааст.
Агар корбарони браузерҳои муосир кӯҳна шудани сертификати решаи AddTrustро ҳангоми коркарди сертификатҳои байниимзошудаи Sectigo пай набурданд, пас мушкилот дар замимаҳои гуногуни тарафи сеюм ва коркардкунандагони сервер пайдо шуданд, ки боиси бисёр инфрасохторҳо, ки каналҳои иртиботии рамзшударо барои ҳамкории байни ҷузъҳо истифода мебаранд.
Масалан, буданд бо дастрасӣ ба баъзе анборҳои бастаҳо дар Debian ва Ubuntu (мусоидат ба тавлиди хатои тасдиқи сертификат оғоз кард), дархостҳо аз скриптҳо бо истифода аз утилитаҳои "curl" ва "wget" ноком шуданд, ҳангоми истифодаи Git хатогиҳо мушоҳида шуданд, Платформаи ҷараёнии Roku кор мекунад, коркардкунандагон дигар даъват карда намешаванд и , сар шуд дар барномаҳои Heroku, Мизоҷони OpenLDAP пайваст мешаванд, мушкилот бо ирсоли почта ба SMTPS ва серверҳои SMTP бо STARTTLS ошкор карда мешаванд. Илова бар ин, дар скриптҳои гуногуни Ruby, PHP ва Python, ки модулро бо муштарии http истифода мебаранд, мушкилот мушоҳида мешавад. Мушкилоти браузер Epiphany, ки боркунии рӯйхатҳои бастани таблиғро қатъ кард.
Барномаҳои Go ба ин мушкилот таъсир намерасонанд, зеро Go пешниҳод мекунад TLS.
ки мушкилот ба версияҳои кӯҳнаи тақсимот таъсир мерасонад (аз ҷумла Debian 9, Ubuntu 16.04, ) ки филиалҳои OpenSSL-ро истифода мебаранд, аммо мушкилот инчунин вақте ки мудири бастаи APT дар версияҳои ҷории Debian 10 ва Ubuntu 18.04/20.04 кор мекунад, зеро APT китобхонаи GnuTLS-ро истифода мебарад. Моҳияти мушкилот дар он аст, ки бисёре аз китобхонаҳои TLS/SSL сертификатро ҳамчун занҷири хатӣ таҳлил мекунанд, дар ҳоле ки тибқи RFC 4158, сертификат метавонад графи даврашакл тақсимшуда бо лангарҳои сершумори эътимодро нишон диҳад, ки бояд ба назар гирифта шаванд. Дар бораи ин камбуди дар OpenSSL ва GnuTLS . Дар OpenSSL мушкилот дар филиали 1.1.1 ва дар боқӣ мемонад .
Ҳамчун роҳи ҳал, тавсия дода мешавад, ки сертификати "AddTrust External CA Root" -ро аз мағозаи система хориҷ кунед (масалан, аз /etc/ca-certificates.conf ва /etc/ssl/certs хориҷ кунед ва сипас "update-ca-ро иҷро кунед" -certifics -f -v"), пас аз он OpenSSL одатан бо иштироки худ коркарди сертификатҳои байниимзошударо оғоз мекунад. Ҳангоми истифодаи менеҷери бастаи APT, шумо метавонед тафтиши сертификатро барои дархостҳои инфиродӣ бо хатари худ ғайрифаъол кунед (масалан, “apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false”) .
Барои бастани мушкилот дар и Пешниҳод карда мешавад, ки сертификати AddTrust ба рӯйхати сиёҳ илова карда шавад:
trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
иқтибос навсозии-ca-боварӣ
Аммо ин усул барои GnuTLS (масалан, ҳангоми иҷро кардани утилитаи wget хатогии тасдиқи сертификат пайдо мешавад).
Дар тарафи сервер шумо метавонед номбар кардани сертификатҳо дар занҷири боварӣ, ки сервер ба муштарӣ фиристодааст (агар сертификати марбут ба "AddTrust External CA Root" аз рӯйхат хориҷ карда шавад, пас санҷиши муштарӣ муваффақ хоҳад шуд). Барои тафтиш ва тавлиди занҷири нави эътимод, шумо метавонед хидматро истифода баред . Сектиго низ шаҳодатномаи миёнаравӣ алтернативӣ "", ки то соли 2028 эътибор дорад ва мутобиқатро бо версияҳои кӯҳнаи ОС нигоҳ медорад.
Илова: мушкилот низ дар LibreSSL.
Манбаъ: opennet.ru