ہفتہ، 30 مئی، 2020 کو، وینڈر Sectigo (سابقہ کوموڈو) کے مشہور SSL/TLS سرٹیفکیٹس کے ساتھ فوری طور پر واضح مسئلہ پیدا نہیں ہوا۔ سرٹیفکیٹ خود درست ترتیب میں ہوتے رہے، تاہم، ان زنجیروں میں سے ایک انٹرمیڈیٹ CA سرٹیفکیٹ جن کے ساتھ یہ سرٹیفکیٹ فراہم کیے گئے تھے، بوسیدہ ہو گئے۔ صورت حال یہ نہیں ہے کہ مہلک، لیکن ناخوشگوار: براؤزر کے موجودہ ورژن نے کچھ بھی محسوس نہیں کیا، تاہم، زیادہ تر آٹومیشن اور پرانے براؤزر / OS اس طرح کے موڑ کے لئے تیار نہیں تھے.
حبر بھی اس سے مستثنیٰ نہیں تھا، اسی لیے یہ تعلیمی پروگرام/ پوسٹ مارٹم لکھا گیا۔
TL؛ ڈاکٹر بالکل آخر میں حل۔
آئیے PKI، SSL/TLS، https اور مزید کے بارے میں بنیادی تھیوری کو چھوڑتے ہیں۔ ڈومین سیکیورٹی سرٹیفکیٹ کے ساتھ توثیق کا میکانکس براؤزر یا آپریٹنگ سسٹم کے ذریعے بھروسہ مند افراد میں سے کسی ایک کے لیے متعدد سرٹیفکیٹس کی ایک زنجیر بنانا ہے، جو کہ نام نہاد ٹرسٹ اسٹور میں محفوظ ہیں۔ یہ فہرست آپریٹنگ سسٹم، کوڈ رن ٹائم ایکو سسٹم، یا براؤزر کے ساتھ تقسیم کی جاتی ہے۔ کسی بھی سرٹیفکیٹ کی میعاد ختم ہونے کی تاریخ ہوتی ہے جس کے بعد انہیں ناقابل اعتماد سمجھا جاتا ہے، بشمول ٹرسٹ اسٹور میں سرٹیفکیٹ۔ اس دن سے پہلے اعتماد کا سلسلہ کیسا لگتا تھا؟ ایک ویب یوٹیلیٹی اس کا پتہ لگانے میں ہماری مدد کرے گی۔ Qualis سے.
لہذا، سب سے زیادہ مقبول "تجارتی" سرٹیفکیٹس میں سے ایک Sectigo Positive SSL (پہلے Comodo Positive SSL، اس نام کے سرٹیفکیٹس اب بھی استعمال میں ہیں)، یہ نام نہاد DV-سرٹیفکیٹ ہے۔ DV سرٹیفیکیشن کی سب سے قدیم سطح ہے، یعنی اس طرح کے سرٹیفکیٹ کے جاری کنندہ کے ذریعے ڈومین مینجمنٹ تک رسائی کی تصدیق۔ دراصل، DV کا مطلب ہے "ڈومین کی توثیق"۔ حوالہ کے لیے: OV (تنظیم کی توثیق) اور EV (توسیع شدہ توثیق) بھی ہے، اور Let's Encrypt کا مفت سرٹیفکیٹ بھی DV ہے۔ ان لوگوں کے لیے جو کسی وجہ سے ACME میکانزم سے مطمئن نہیں ہیں، Positive SSL پروڈکٹ قیمت / خصوصیات کے لحاظ سے سب سے زیادہ موزوں ہے (ایک ڈومین سرٹیفکیٹ کی لاگت تقریباً 5-7 ڈالر سالانہ ہے جس میں سرٹیفکیٹ کی میعاد کی کل مدت ہے 2 سال اور 3 ماہ تک)۔
Sectigo DV جنرک سرٹیفکیٹ (RSA) حال ہی میں انٹرمیڈیٹ CAs کے اس سلسلے کے ساتھ آیا تھا:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authorityکوئی "تیسرا سرٹیفکیٹ" نہیں ہے، جو AddTrust AB سے خود دستخط شدہ ہے، کیونکہ کسی وقت یہ خود دستخط شدہ روٹ سرٹیفکیٹس کو زنجیروں میں شامل کرنا برا آداب سمجھا جاتا ہے۔ نوٹ کریں کہ AddTrust کے UserTrust کے ذریعے جاری کردہ انٹرمیڈیٹ CA کی میعاد ختم ہونے کی تاریخ 30 مئی 2020 ہے۔ یہ آسان نہیں ہے، کیونکہ اس CA کے لیے ڈیکمشننگ کا طریقہ کار طے کیا گیا تھا۔ یہ خیال کیا جاتا تھا کہ 30 مئی 2020 تک، UserTrust کی طرف سے ایک کراس دستخط شدہ سرٹیفکیٹ اس وقت تک تمام ٹرسٹ اسٹورز میں ظاہر ہو جائے گا (ہڈ کے نیچے، یہ وہی سرٹیفکیٹ ہے، یا اس کے بجائے ایک عوامی کلید ہے) اور سلسلہ، یہاں تک کہ پہلے سے ہی ناقابل اعتماد سرٹیفکیٹ شامل ہے، متبادل راستے بنائے جائیں گے اور کوئی بھی نوٹس نہیں کرے گا. تاہم، منصوبے حقیقت میں ٹکرا گئے، یعنی طویل اصطلاح "میراثی نظام"۔ درحقیقت، براؤزرز کے موجودہ ورژن کے مالکان نے کچھ بھی محسوس نہیں کیا، تاہم، متعدد پروگرامنگ زبانوں اور کوڈ پر عمل درآمد کے ماحول کی curl اور ssl/tls لائبریریوں پر بنائے گئے آٹومیشن کا پہاڑ ٹوٹ گیا۔ یہ سمجھنا چاہیے کہ بہت سی پروڈکٹس OS میں بنائے گئے چین بلڈنگ ٹولز کی رہنمائی نہیں کرتی ہیں، بلکہ اپنے ٹرسٹ اسٹور کو اپنے ساتھ لے جاتی ہیں۔ اور ان میں ہمیشہ وہ چیز نہیں ہوتی جو وہ دیکھنا چاہتے ہیں۔ . اور لینکس میں، سی اے سرٹیفکیٹس جیسے پیکیج ہمیشہ اپ ڈیٹ نہیں ہوتے ہیں۔ آخر میں، سب کچھ ترتیب میں ہے، لیکن کچھ یہاں اور وہاں کام نہیں کرتا.
شکل 1 سے، یہ واضح ہے کہ اگرچہ اکثریت کے لیے سب کچھ معمول کے مطابق نظر آرہا تھا، لیکن کسی کے لیے کچھ ٹوٹ گیا اور ٹریفک نمایاں طور پر کم ہو گیا (بائیں سرخ لکیر)، پھر جب کلیدی سرٹیفکیٹس میں سے ایک کو تبدیل کیا گیا (دائیں لائن) تو اس میں اضافہ ہوا۔ درمیان میں پھٹ پڑے، جب دوسرے سرٹیفکیٹ بدلے گئے، جن پر کچھ انحصار بھی تھا۔ چونکہ اکثریت کے لیے ہر چیز ضعف سے کم و بیش باقاعدگی سے کام کرتی رہتی ہے (حیبراسٹوریج پر تصویریں لوڈ کرنے کی ناممکنات جیسی عجیب و غریب خامیوں کے علاوہ)، ہم Habré پر لیگیسی کلائنٹس اور بوٹس کی تعداد کے بارے میں بالواسطہ نتیجہ اخذ کر سکتے ہیں۔
تصویر 1. Habré پر "ٹریفک" کا گراف۔
شکل 2 دکھاتا ہے کہ براؤزرز کے موجودہ ورژنز میں صارف کے براؤزر میں ایک قابل اعتماد CA سرٹیفکیٹ کے لیے "متبادل" سلسلہ کس طرح بنایا گیا ہے، چاہے سلسلہ میں کوئی "سڑا ہوا" سرٹیفکیٹ موجود ہو۔ یہ، جیسا کہ خود Sectigo کا خیال تھا، کچھ نہ کرنے کی یہی وجہ ہے۔
شکل 2۔ جدید براؤزر ورژن کے لیے ایک قابل اعتماد سرٹیفکیٹ کا سلسلہ۔
لیکن شکل 3 میں، آپ دیکھ سکتے ہیں کہ جب کچھ غلط ہو جاتا ہے اور ہمارے پاس میراثی نظام ہوتا ہے تو سب کچھ واقعی کیسا لگتا ہے۔ اس صورت میں، HTTPS کنکشن قائم نہیں ہوا ہے اور ہمیں "سرٹیفکیٹ کی توثیق ناکام" یا اس جیسی خرابی نظر آتی ہے۔
شکل 3۔ سلسلہ باطل کر دیا گیا تھا کیونکہ روٹ سرٹیفکیٹ اور اس پر دستخط شدہ انٹرمیڈیٹ "سڑے ہوئے" تھے۔
شکل 4 میں، ہم پہلے ہی لیگیسی سسٹمز کے لیے ایک "حل" دیکھتے ہیں: ایک اور انٹرمیڈیٹ سرٹیفکیٹ ہے، یا کسی اور CA سے "کراس دستخط" ہے، جو عام طور پر لیگیسی سسٹمز میں پہلے سے انسٹال ہوتا ہے۔ آپ کو یہ کرنے کی ضرورت ہے: اس سرٹیفکیٹ کو تلاش کریں (جسے اضافی ڈاؤن لوڈ کے طور پر نشان زد کیا گیا ہے) اور اس کے ساتھ "سڑے ہوئے" کو تبدیل کریں۔
تصویر 4. میراثی نظام کے لیے متبادل سلسلہ۔
ویسے: اس مسئلے کی وسیع تشہیر اور کسی قسم کی عوامی بحث نہیں تھی، بشمول Sectigo کی ضرورت سے زیادہ تکبر کی وجہ سے۔ مثال کے طور پر، یہاں سرٹیفکیٹ فراہم کرنے والوں میں سے ایک کی رائے ہے۔ اس صورت حال کے لیے:
پہلے وہ [سیکٹیگو] سب کو یقین دلایا کہ کوئی مسئلہ نہیں ہوگا۔ تاہم، حقیقت یہ ہے کہ کچھ میراثی سرورز/آلات متاثر ہوئے ہیں۔
یہ ایک مضحکہ خیز صورتحال ہے۔ ہم نے ان کی توجہ ایک سال کے اندر کئی بار ختم ہونے والی AddTrust RSA/ECC کی طرف دلائی اور ہر بار Sectigo نے ہمیں یقین دلایا کہ کوئی مسئلہ نہیں ہوگا۔
میں نے ذاتی طور پر پوچھا اسٹیک اوور فلو پر ایک ماہ قبل اس کے بارے میں، لیکن بظاہر، پروجیکٹ کے سامعین اس طرح کے سوالات کے لیے زیادہ موزوں نہیں ہیں، اس لیے مجھے تجزیہ کے بعد خود ہی اس کا جواب دینا پڑا۔
سیکٹیگو اس موضوع پر اکثر پوچھے گئے سوالات ہیں، لیکن یہ اتنا ناقابل مطالعہ اور طویل ہے کہ اس کا استعمال ناممکن ہے۔ یہاں ایک اقتباس ہے جو پوری اشاعت کا خلاصہ ہے:
آپ کو کیا کرنے کی ضرورت ہے
زیادہ تر استعمال کے معاملات کے لیے، بشمول جدید کلائنٹ یا سرور سسٹم کو پیش کرنے والے سرٹیفکیٹس، کسی کارروائی کی ضرورت نہیں ہے، چاہے آپ نے AddTrust روٹ کو کراس چینڈ سرٹیفکیٹ جاری کیے ہوں یا نہیں۔30 اپریل 2020 تک: ایسے کاروباری عملوں کے لیے جو بہت پرانے سسٹمز پر منحصر ہیں، Sectigo نے کراس سائننگ کے لیے ایک نئی میراثی جڑ (بذریعہ سرٹیفکیٹ بنڈلز) دستیاب کرائی ہے، "AAA سرٹیفکیٹ سروسز" روٹ۔ تاہم، براہ کرم کسی بھی ایسے عمل کے بارے میں انتہائی احتیاط برتیں جو بہت پرانے میراثی نظام پر منحصر ہو۔ جن سسٹمز کو نئی جڑوں کو سپورٹ کرنے کے لیے ضروری اپ ڈیٹس موصول نہیں ہوئے ہیں جیسے کہ Sectigo's COMODO روٹ میں لازمی طور پر دیگر ضروری سیکیورٹی اپ ڈیٹس غائب ہوں گے اور انہیں غیر محفوظ تصور کیا جانا چاہیے۔ اگر آپ اب بھی AAA سرٹیفکیٹ سروسز روٹ پر دستخط کرنا چاہتے ہیں، تو براہ کرم Sectigo سے براہ راست رابطہ کریں۔
مجھے واقعی "بہت پرانا" مقالہ پسند ہے۔ مثال کے طور پر، Ubuntu Linux 18.04 LTS (اس وقت ہمارا بنیادی OS) کے کنسول میں ایک ماہ سے زیادہ پرانی تازہ ترین اپ ڈیٹس کے ساتھ کرل کریں، اسے بہت پرانا کہنا مشکل ہے، لیکن یہ کام نہیں کرتا ہے۔
زیادہ تر سرٹیفکیٹ تقسیم کنندگان نے 30 مئی کی سہ پہر کو اپنے فیصلے کے نوٹ جاری کیے ہیں۔ مثال کے طور پر، سے تکنیکی شرائط میں بہت مناسب (کیا کرنا ہے اس کی مخصوص وضاحت کے ساتھ اور زپ آرکائیوز میں تیار شدہ CA بنڈلوں کے ساتھ، لیکن صرف RSA):
شکل 5۔ چیزوں کو تیزی سے ٹھیک کرنے کے لیے سات اقدامات۔
ہے Redhat سے، لیکن زیادہ سے زیادہ Legacy ہے اور آپ کو کاموڈو سے ایک اور بھی زیادہ روٹ لیگیسی سرٹیفکیٹ انسٹال کرنے کی ضرورت ہے تاکہ ہر چیز کام کر سکے۔
حل
یہاں بھی حل کو نقل کرنے کے قابل ہے۔ ذیل میں سرٹیفکیٹس کے لیے زنجیروں کے دو سیٹ ہیں۔ DV Sectigo (کوموڈو نہیں!)، ایک واقف RSA سرٹیفکیٹس کے لیے، دوسرا کم مانوس ECC (ECDSA) سرٹیفکیٹس کے لیے (ہم ایک طویل عرصے سے دو زنجیریں استعمال کر رہے ہیں)۔ ECC کے ساتھ، یہ زیادہ مشکل تھا، کیونکہ زیادہ تر حل ایسے سرٹیفکیٹس کی موجودگی کو ان کے کم پھیلاؤ کی وجہ سے مدنظر نہیں رکھتے۔ نتیجے کے طور پر، مطلوبہ انٹرمیڈیٹ سرٹیفکیٹ پر مل گیا .
کلیدی الگورتھم پر مبنی سرٹیفکیٹس کے لیے سلسلہ RSA. اپنی زنجیر سے موازنہ کریں اور نوٹ کریں کہ صرف نچلا سرٹیفکیٹ تبدیل کیا گیا ہے، جبکہ اوپر والا وہی رہا ہے۔ میں انہیں گھر میں بیس 64 بلاکس کے آخری تین حروف سے ممتاز کرتا ہوں، "برابر" کردار کو شمار نہیں کرتا ہوں (اس معاملے میں En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----کلیدی الگورتھم پر مبنی سرٹیفکیٹس کے لیے سلسلہ ای سی سی. اسی طرح RSA کے سلسلے کے ساتھ، صرف نچلا سرٹیفکیٹ تبدیل کیا گیا، جبکہ اوپر والا وہی رہا (اس معاملے میں fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----
MIID0zCCArugAwIBAgIQVmcdBOpPmUxvEIFHWdJ1lDANBgkqhkiG9w0BAQwFADB7
MQswCQYDVQQGEwJHQjEbMBkGA1UECAwSR3JlYXRlciBNYW5jaGVzdGVyMRAwDgYD
VQQHDAdTYWxmb3JkMRowGAYDVQQKDBFDb21vZG8gQ0EgTGltaXRlZDEhMB8GA1UE
AwwYQUFBIENlcnRpZmljYXRlIFNlcnZpY2VzMB4XDTE5MDMxMjAwMDAwMFoXDTI4
MTIzMTIzNTk1OVowgYgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5
MRQwEgYDVQQHEwtKZXJzZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBO
ZXR3b3JrMS4wLAYDVQQDEyVVU0VSVHJ1c3QgRUNDIENlcnRpZmljYXRpb24gQXV0
aG9yaXR5MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAEGqxUWqn5aCPnetUkb1PGWthL
q8bVttHmc3Gu3ZzWDGH926CJA7gFFOxXzu5dP+Ihs8731Ip54KODfi2X0GHE8Znc
JZFjq38wo7Rw4sehM5zzvy5cU7Ffs30yf4o043l5o4HyMIHvMB8GA1UdIwQYMBaA
FKARCiM+lvEH7OKvKe+CpX/QMKS0MB0GA1UdDgQWBBQ64QmG1M8ZwpZ2dEl23OA1
xmNjmjAOBgNVHQ8BAf8EBAMCAYYwDwYDVR0TAQH/BAUwAwEB/zARBgNVHSAECjAI
MAYGBFUdIAAwQwYDVR0fBDwwOjA4oDagNIYyaHR0cDovL2NybC5jb21vZG9jYS5j
b20vQUFBQ2VydGlmaWNhdGVTZXJ2aWNlcy5jcmwwNAYIKwYBBQUHAQEEKDAmMCQG
CCsGAQUFBzABhhhodHRwOi8vb2NzcC5jb21vZG9jYS5jb20wDQYJKoZIhvcNAQEM
BQADggEBABns652JLCALBIAdGN5CmXKZFjK9Dpx1WywV4ilAbe7/ctvbq5AfjJXy
ij0IckKJUAfiORVsAYfZFhr1wHUrxeZWEQff2Ji8fJ8ZOd+LygBkc7xGEJuTI42+
FsMuCIKchjN0djsoTI0DQoWz4rIjQtUfenVqGtF8qmchxDM6OW1TyaLtYiKou+JV
bJlsQ2uRl9EMC5MCHdK8aXdJ5htN978UeAOwproLtOGFfy/cQjutdAFI3tZs4RmY
CV4Ks2dH/hzg1cEo70qLRDEmBDeNiXQ2Lu+lIg+DdEmSx/cQwgwp+7e9un/jX9Wf
8qn0dNW44bOwgeThpWOjzOoEeJBuv/c=
-----END CERTIFICATE-----یہ بہت زیادہ ہے. آپکی توجہ کا شکریہ.
ماخذ: www.habr.com