30 مئی کو، روٹ سرٹیفکیٹ کی 20 سالہ میعاد کی میعاد ختم ہو گئی۔ کون سا سرٹیفیکیشن کی سب سے بڑی اتھارٹی Sectigo (Comodo) میں سے ایک کے کراس سائن ان سرٹیفکیٹ تیار کرنے کے لیے۔ کراس سائننگ کی اجازت دی جاتی ہے کہ وہ پرانی آلات کے ساتھ مطابقت رکھتے ہوں جن کے روٹ سرٹیفکیٹ اسٹور میں نیا USERTRust روٹ سرٹیفکیٹ شامل نہیں تھا۔
نظریاتی طور پر، AddTrust روٹ سرٹیفکیٹ کا خاتمہ صرف میراثی سسٹمز (Android 2.3، Windows XP، Mac OS X 10.11، iOS 9، وغیرہ) کے ساتھ مطابقت کی خلاف ورزی کا باعث بننا چاہیے، کیونکہ کراس دستخط میں استعمال ہونے والا دوسرا روٹ سرٹیفکیٹ باقی رہتا ہے۔ درست اور جدید براؤزر اعتماد کے سلسلے کو چیک کرتے وقت اسے مدنظر رکھتے ہیں۔ پریکٹس پر غیر براؤزر TLS کلائنٹس میں کراس دستخطی تصدیق کے ساتھ مسائل، بشمول OpenSSL 1.0.x اور GnuTLS پر مبنی۔ اگر سرور AddTrust روٹ سرٹیفکیٹ سے ٹرسٹ کے سلسلہ سے منسلک Sectigo سرٹیفکیٹ استعمال کر رہا ہے تو اس غلطی کے ساتھ اب ایک محفوظ کنکشن قائم نہیں ہوتا ہے جس سے یہ ظاہر ہوتا ہے کہ سرٹیفکیٹ پرانا ہے۔
اگر جدید براؤزرز کے صارفین نے کراس دستخط شدہ Sectigo سرٹیفکیٹس پر کارروائی کرتے وقت AddTrust روٹ سرٹیفکیٹ کے متروک ہونے کا نوٹس نہیں لیا، تو پھر مختلف تھرڈ پارٹی ایپلی کیشنز اور سرور سائیڈ ہینڈلرز میں مسائل ظاہر ہونا شروع ہو گئے، جس کی وجہ سے بہت سے بنیادی ڈھانچے جو اجزاء کے درمیان تعامل کے لیے خفیہ کردہ مواصلاتی چینلز کا استعمال کرتے ہیں۔
مثال کے طور پر، وہاں تھے Debian اور Ubuntu میں کچھ پیکیج ریپوزٹریز تک رسائی کے ساتھ (apt نے سرٹیفکیٹ کی توثیق کی خرابی پیدا کرنا شروع کردی)، "curl" اور "wget" یوٹیلیٹیز استعمال کرنے والے اسکرپٹس سے درخواستیں ناکام ہونے لگیں، گٹ استعمال کرتے وقت غلطیاں دیکھی گئیں، روکو اسٹریمنگ پلیٹ فارم کام کر رہا ہے، ہینڈلرز کو اب نہیں بلایا جاتا ہے۔ и ، شروع ہیروکو ایپس میں، اوپن ایل ڈی اے پی کلائنٹس جڑ جاتے ہیں، ایس ایم ٹی پی ایس اور ایس ایم ٹی پی سرورز کو STARTTLS کے ساتھ میل بھیجنے میں مسائل کا پتہ چلا ہے۔ اس کے علاوہ، مختلف روبی، پی ایچ پی اور پائتھون اسکرپٹس میں مسائل دیکھے جاتے ہیں جو HTTP کلائنٹ کے ساتھ ماڈیول استعمال کرتے ہیں۔ براؤزر کا مسئلہ Epiphany، جس نے اشتہارات کو مسدود کرنے والی فہرستوں کو لوڈ کرنا بند کر دیا۔
گو پروگرام اس مسئلے سے متاثر نہیں ہوتے ہیں کیونکہ گو آفر کرتا ہے۔ TLS۔
کہ مسئلہ پرانے ڈسٹری بیوشن ریلیز کو متاثر کرتا ہے (بشمول ڈیبین 9، اوبنٹو 16.04، ) جو مسئلہ اوپن ایس ایس ایل شاخوں کا استعمال کرتے ہیں، لیکن مسئلہ اس وقت بھی جب APT پیکیج مینیجر Debian 10 اور Ubuntu 18.04/20.04 کی موجودہ ریلیز میں چل رہا ہے، کیونکہ APT GnuTLS لائبریری کا استعمال کرتا ہے۔ مسئلہ کی جڑ یہ ہے کہ بہت سی TLS/SSL لائبریریاں ایک سرٹیفکیٹ کو ایک لکیری زنجیر کے طور پر پارس کرتی ہیں، جب کہ RFC 4158 کے مطابق، ایک سرٹیفکیٹ ایک سے زیادہ ٹرسٹ اینکرز کے ساتھ ڈائریکٹڈ ڈسٹری بیوٹڈ سرکلر گراف کی نمائندگی کر سکتا ہے جس کو مدنظر رکھنا ضروری ہے۔ OpenSSL اور GnuTLS میں اس خامی کے بارے میں . اوپن ایس ایس ایل میں مسئلہ برانچ 1.1.1 اور اس میں حل کیا گیا تھا۔ باقی .
ایک کام کے طور پر، یہ تجویز کیا جاتا ہے کہ سسٹم اسٹور سے "AddTrust External CA Root" سرٹیفکیٹ کو ہٹا دیں (مثال کے طور پر، /etc/ca-certificates.conf اور /etc/ssl/certs سے ہٹائیں، اور پھر "update-ca" چلائیں۔ -سرٹیفیکیٹس -f -v")، جس کے بعد OpenSSL اپنی شرکت کے ساتھ کراس دستخط شدہ سرٹیفکیٹس پر عام طور پر کارروائی کرنا شروع کر دیتا ہے۔ اے پی ٹی پیکیج مینیجر کا استعمال کرتے وقت، آپ اپنی ذمہ داری پر انفرادی درخواستوں کے لیے سرٹیفکیٹ کی تصدیق کو غیر فعال کر سکتے ہیں (مثال کے طور پر، "apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false") .
میں مسئلہ کو روکنے کے لیے и بلیک لسٹ میں AddTrust سرٹیفکیٹ شامل کرنے کی تجویز ہے:
trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
update-ca-trust اقتباس
لیکن یہ طریقہ GnuTLS کے لیے (مثال کے طور پر، wget یوٹیلیٹی چلاتے وقت سرٹیفکیٹ کی تصدیق کی خرابی ظاہر ہوتی رہتی ہے)۔
سرور کی طرف آپ کر سکتے ہیں۔ سرور کی طرف سے کلائنٹ کو بھیجے گئے ٹرسٹ چین میں سرٹیفکیٹس کی فہرست بنانا (اگر "AddTrust External CA Root" سے وابستہ سرٹیفکیٹ کو فہرست سے ہٹا دیا جاتا ہے، تو کلائنٹ کی تصدیق کامیاب ہو جائے گی)۔ اعتماد کا ایک نیا سلسلہ چیک کرنے اور پیدا کرنے کے لیے، آپ سروس استعمال کر سکتے ہیں۔ . Sectigo بھی متبادل کراس دستخط شدہ انٹرمیڈیٹ سرٹیفکیٹ ""، جو 2028 تک درست رہے گا اور OS کے پرانے ورژن کے ساتھ مطابقت برقرار رکھے گا۔
اضافہ: مسئلہ بھی LibreSSL میں۔
ماخذ: opennet.ru