30 Mayıs 2020 Cumartesi günü, satıcı Sectigo'nun (eski adıyla Comodo) popüler SSL / TLS sertifikalarında hemen net olmayan bir sorun ortaya çıktı. Sertifikaların kendileri mükemmel durumda olmaya devam etti, ancak bu sertifikaların sağlandığı zincirlerdeki ara CA sertifikalarından biri çürüdü. Durum ölümcül değil ama tatsız: tarayıcıların mevcut sürümleri hiçbir şey fark etmedi, ancak otomasyonların çoğu ve eski tarayıcılar / işletim sistemleri böyle bir dönüş için hazır değildi.
Habr bir istisna değildi, bu yüzden bu eğitim programı / postmortem yazıldı.
TL; DR Çözüm en sonunda.
PKI, SSL/TLS, https ve daha fazlası hakkındaki temel teoriyi geçelim. Bir etki alanı güvenlik sertifikasıyla kimlik doğrulama mekanizması, sözde Güven Deposunda saklanan tarayıcı veya işletim sistemi tarafından güvenilen sertifikalardan birine bir dizi sertifika zinciri oluşturmaktır. Bu liste işletim sistemi, kod çalışma zamanı ekosistemi veya tarayıcı ile birlikte dağıtılır. Güven deposundaki sertifikalar da dahil olmak üzere tüm sertifikaların bir son kullanma tarihi vardır ve bu tarihten sonra güvenilmez olarak kabul edilirler. Kader gününden önce güven zinciri nasıldı? Bir web yardımcı programı bunu çözmemize yardımcı olacak Qualys'ten.
Bu nedenle, en popüler "ticari" sertifikalardan biri Sectigo Positive SSL'dir (eski adıyla Comodo Positive SSL, bu ada sahip sertifikalar hala kullanılmaktadır), sözde DV sertifikasıdır. DV, sertifikanın en ilkel seviyesidir, yani alan yönetimine erişimin böyle bir sertifikayı veren tarafından doğrulanmasıdır. Aslında, DV "etki alanı doğrulaması" anlamına gelir. Referans için: Ayrıca OV (kuruluş doğrulaması) ve EV (genişletilmiş doğrulama) vardır ve Let's Encrypt'ten ücretsiz bir sertifika da DV'dir. Herhangi bir nedenle ACME mekanizmasından memnun olmayanlar için, Pozitif SSL ürünü fiyat/özellikler açısından en uygun olanıdır (tek alanlı bir sertifikanın maliyeti yılda yaklaşık 5-7 dolar ve toplam sertifika geçerlilik süresi 2 yıl 3 aya kadar).
Yakın zamana kadar Sectigo DV Genel Sertifikası (RSA) şu ara CA'lar zinciriyle birlikte geliyordu:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityAddTrust AB'den otomatik olarak imzalanan bir "üçüncü sertifika" yoktur, çünkü bir noktada kendinden imzalı kök sertifikaları zincirlere dahil etmek kötü bir davranış olarak kabul edilmiştir. AddTrust'un UserTrust'u tarafından yayınlanan ara CA'nın son kullanma tarihinin 30 Mayıs 2020 olduğunu unutmayın. Bu CA için bir hizmetten çıkarma prosedürü planlandığı için bu kolay değildir. 30 Mayıs 2020'ye kadar, UserTrust'tan çapraz imzalı bir sertifikanın bu zamana kadar tüm güven mağazalarında görüneceğine inanılıyordu (görüntü altında, bu aynı sertifika veya daha doğrusu bir genel anahtardır) ve zincirde bile zaten güvenilmeyen sertifika dahil, alternatif yollar oluşturulacak ve kimse fark etmeyecek. Ancak planlar gerçeğe, yani uzun vadeli "eski sistemler"e çarptı. Gerçekten de, tarayıcıların mevcut sürümlerinin sahipleri hiçbir şey fark etmedi, ancak bir dizi programlama dilinin curl ve ssl / tls kitaplıkları ve kod yürütme ortamları üzerine kurulu otomasyon dağı kırıldı. Pek çok ürünün işletim sistemine yerleşik zincir oluşturma araçları tarafından yönlendirilmediği, ancak güven depolarını yanlarında "taşıdığı" anlaşılmalıdır. Ve her zaman görmek istediklerini içermezler. . Ve Linux'ta ca-certificates gibi paketler her zaman güncellenmez. Sonunda, her şey yolunda görünüyor, ancak burada burada bir şeyler çalışmıyor.
Şekil 1'den, büyük çoğunluk için her şey her zamanki gibi görünse de, birisi için bir şeylerin bozulduğu ve trafiğin gözle görülür şekilde düştüğü (sol kırmızı çizgi), ardından anahtar sertifikalardan biri değiştirildiğinde (sağ çizgi) büyüdüğü açıktır. Ortada, bir şeyin de bağlı olduğu diğer sertifikalar değiştirildiğinde patlamalar oldu. Çoğunluk için görsel olarak her şey az ya da çok düzenli çalışmaya devam ettiğinden (Habrastorage'a resim yüklemenin imkansızlığı gibi garip aksaklıklar dışında), Habré'deki eski istemcilerin ve botların sayısı hakkında dolaylı bir sonuca varabiliriz.
Şekil 1. Habré'deki "trafik" grafiği.
Şekil 2, zincirde "çürümüş" bir sertifika olsa bile, tarayıcıların mevcut sürümlerinde kullanıcının tarayıcısındaki güvenilir bir CA sertifikasına nasıl "alternatif" bir zincir oluşturulduğunu göstermektedir. Bu, Sectigo'nun kendisinin de inandığı gibi, hiçbir şey yapmamanın tam nedenidir.
Şekil 2. Modern bir tarayıcı sürümü için güvenilir bir sertifika zinciri.
Ancak Şekil 3'te, bir şeyler ters gittiğinde ve eski bir sistemimiz olduğunda her şeyin gerçekten nasıl göründüğünü görebilirsiniz. Bu durumda HTTPS bağlantısı kurulmaz ve "sertifika doğrulanamadı" veya benzeri bir hata görürüz.
Şekil 3. Zincir, kök sertifika ve onun tarafından imzalanan aracı "çürümüş" olduğu için geçersiz kılındı.
Şekil 4'te, eski sistemler için zaten bir "çözüm" görüyoruz: başka bir ara sertifika veya daha doğrusu, genellikle eski sistemlere önceden yüklenmiş olan başka bir CA'dan gelen bir "çapraz imza" var. Yapmanız gereken şu: (Ekstra indirme olarak işaretlenen) bu sertifikayı bulun ve "çürümüş" olanı onunla değiştirin.
Şekil 4. Eski sistemler için alternatif zincir.
Bu arada: Sectigo'nun aşırı küstahlığı da dahil olmak üzere, sorunun geniş bir tanıtımı ve bir tür kamuoyu tartışması yoktu. Örneğin, burada sertifika sağlayıcılardan birinin görüşü yer almaktadır. bu duruma:
Daha önce onlar [Bölüm] herkese sorun olmayacağına dair güvence verdi. Ancak gerçek şu ki, bazı eski sunucular/cihazlar etkileniyor.
Bu gülünç bir durum. Dikkatlerini bir yıl içinde süresi dolan AddTrust RSA/ECC'ye birçok kez çektik ve Sectigo her seferinde bize hiçbir sorun olmayacağına dair güvence verdi.
bizzat sordum bir ay önce Stack Overflow'ta bununla ilgili, ancak görünüşe göre projenin izleyicileri bu tür sorular için pek uygun değil, bu yüzden analizden sonra kendim cevaplamak zorunda kaldım.
sektigo Bu konuda bir SSS var ama o kadar okunaksız ve uzun ki onu kullanmak imkansız. İşte tüm yayının özü olan bir alıntı:
Ne yapmak gerekiyor
Modern istemci veya sunucu sistemlerine hizmet veren sertifikalar da dahil olmak üzere çoğu kullanım durumu için, AddTrust köküne çapraz zincirlenmiş sertifikalar yayınlamış olsanız da olmasanız da herhangi bir işlem yapmanız gerekmez.30 Nisan 2020 itibariyle: Çok eski sistemlere dayanan iş süreçleri için Sectigo, çapraz imzalama için yeni bir eski kök olan "AAA Sertifika Hizmetleri" kökünü kullanıma sunmuştur (sertifika paketlerinde varsayılan olarak). Ancak, çok eski eski sistemlere bağlı olan herhangi bir işlem konusunda lütfen çok dikkatli olun. Sectigo'nun COMODO kökü gibi daha yeni kökleri desteklemek için gerekli güncellemeleri almayan sistemler, kaçınılmaz olarak diğer temel güvenlik güncellemelerini kaçıracak ve güvensiz olarak değerlendirilmelidir. Yine de AAA Sertifika Hizmetleri köküne çapraz imza atmak istiyorsanız, lütfen doğrudan Sectigo ile iletişime geçin.
Elbette “çok eski” tezini gerçekten seviyorum. Örneğin, bir aydan eski olmayan en son güncellemelerle Ubuntu Linux 18.04 LTS (şu anda temel işletim sistemimiz) konsolunda kıvrılın, çok eski aramak zor ama çalışmıyor.
Çoğu sertifika dağıtıcısı karar notlarını 30 Mayıs öğleden sonra yayınladı. Örneğin teknik açıdan çok uygun (ne yapılacağına dair belirli bir açıklama ve zip arşivlerindeki hazır CA paketleri ile, ancak yalnızca RSA ile):
Şekil 5. İşleri hızlı bir şekilde düzeltmek için yedi adım.
Var Redhat'ten, ancak giderek daha fazla Legacy var ve her şeyin çalışması için Comodo'dan daha da kök bir eski sertifika yüklemeniz gerekiyor.
karar
Çözümü burada da çoğaltmaya değer. Aşağıda sertifikalar için iki grup zincir bulunmaktadır. DV Sectigo (Comodo değil!), biri tanıdık RSA sertifikaları için, diğeri daha az bilinen ECC (ECDSA) sertifikaları için (uzun süredir iki zincir kullanıyoruz). ECC ile, daha zordu, çünkü çoğu çözüm, düşük yaygınlıkları nedeniyle bu tür sertifikaların varlığını dikkate almıyor. Sonuç olarak, gerekli ara sertifika üzerinde bulundu. .
Anahtar algoritmasına dayalı sertifika zinciri RSA. Zincirinizle karşılaştırın ve yalnızca alttaki sertifikanın değiştirildiğini, üsttekinin ise aynı kaldığını unutmayın. Onları evde "eşit" karakteri saymadan base64 bloklarının son üç karakteriyle ayırırım (bu durumda En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Anahtar algoritmasına dayalı sertifika zinciri ECC. RSA zincirine benzer şekilde, yalnızca alttaki sertifika değiştirilirken üstteki sertifika aynı kaldı (bu durumda fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Hepsi bukadar. İlginiz için teşekkür ederiz.
Kaynak: habr.com