30 may kuni ildiz sertifikatining 20 yillik amal qilish muddati tugadi , bu eng yirik sertifikatlashtirish idoralaridan biri Sectigo (Comodo) tomonidan o'zaro imzolangan sertifikatlarni yaratish. Oʻzaro imzolash ildiz sertifikatlari doʻkoniga yangi USERTRust ildiz sertifikati qoʻshilmagan eski qurilmalar bilan moslik imkonini berdi.
Nazariy jihatdan, AddTrust ildiz sertifikatini bekor qilish faqat eski tizimlar (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 va boshqalar) bilan moslashuvning buzilishiga olib kelishi kerak, chunki oʻzaro imzoda ishlatiladigan ikkinchi ildiz sertifikati saqlanib qoladi. ishonchli va zamonaviy brauzerlar ishonch zanjirini tekshirishda buni hisobga oladi. Amalda Brauzer bo'lmagan TLS mijozlarida, shu jumladan OpenSSL 1.0.x va GnuTLS asosidagi mijozlarda o'zaro imzolarni tekshirish bilan bog'liq muammolar. Agar server AddTrust ildiz sertifikatiga ishonch zanjiri bilan bogʻlangan Sectigo sertifikatidan foydalanayotgan boʻlsa, sertifikat eskirganligini koʻrsatuvchi xatolik bilan xavfsiz ulanish endi oʻrnatilmaydi.
Agar zamonaviy brauzerlarning foydalanuvchilari o'zaro imzolangan Sectigo sertifikatlarini qayta ishlashda AddTrust ildiz sertifikatining eskirganligini sezmagan bo'lsalar, u holda turli xil uchinchi tomon ilovalari va server tomonidagi ishlov beruvchilarda muammolar paydo bo'la boshladi, bu esa shunga olib keldi. komponentlar o'rtasidagi o'zaro aloqa uchun shifrlangan aloqa kanallaridan foydalanadigan ko'plab infratuzilmalar.
Masalan, bor edi Debian va Ubuntu-dagi ba'zi paketlar omborlariga kirish bilan (sertifikatni tekshirish xatosi paydo bo'la boshladi), "curl" va "wget" yordam dasturlaridan foydalangan holda skriptlarning so'rovlari muvaffaqiyatsiz bo'ldi, Git-dan foydalanishda xatolar kuzatildi, Roku oqim platformasi ishlamoqda, ishlov beruvchilar endi chaqirilmaydi и , boshlandi Heroku ilovalarida, OpenLDAP mijozlari ulanadi, STARTTLS bilan SMTPS va SMTP serverlariga xat yuborish bilan bog'liq muammolar aniqlandi. Bundan tashqari, http mijozi bilan moduldan foydalanadigan turli xil Ruby, PHP va Python skriptlarida muammolar kuzatiladi. Brauzer muammosi Reklamani blokirovka qilish ro'yxatlarini yuklashni to'xtatgan Epiphany.
Go dasturlari bu muammoga ta'sir qilmaydi, chunki Go taklif qiladi TLS.
muammo eski tarqatish versiyalariga ta'sir qiladi (shu jumladan Debian 9, Ubuntu 16.04, ) muammoli OpenSSL filiallaridan foydalanadigan, ammo muammo shuningdek, APT paket menejeri Debian 10 va Ubuntu 18.04/20.04 ning joriy versiyalarida ishlayotganida, chunki APT GnuTLS kutubxonasidan foydalanadi. Muammoning mohiyati shundaki, ko'pgina TLS/SSL kutubxonalari sertifikatni chiziqli zanjir sifatida tahlil qiladi, RFC 4158 ga ko'ra, sertifikat e'tiborga olinishi kerak bo'lgan bir nechta ishonchli langarlar bilan yo'naltirilgan taqsimlangan dumaloq grafikni ifodalashi mumkin. OpenSSL va GnuTLS-dagi bu kamchilik haqida . OpenSSL-da muammo 1.1.1 va filialida tuzatildi qoladi .
Vaqtinchalik yechim sifatida tizim do‘konidan “AddTrust External CA Root” sertifikatini olib tashlash tavsiya etiladi (masalan, /etc/ca-certificates.conf va /etc/ssl/certs dan olib tashlang va “update-ca” ni ishga tushiring. -sertifikatlar -f -v"), shundan so'ng OpenSSL odatda o'z ishtirokida o'zaro imzolangan sertifikatlarni qayta ishlashni boshlaydi. APT paket menejeridan foydalanganda, siz individual so'rovlar uchun sertifikat tekshiruvini o'chirib qo'yishingiz mumkin (masalan, "apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false") .
Muammoni bloklash uchun и AddTrust sertifikatini qora ro'yxatga qo'shish taklif etiladi:
trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
yangilash-ca-ishonch ekstrakti
Ammo bu usul GnuTLS uchun (masalan, wget yordam dasturini ishga tushirishda sertifikatni tekshirish xatosi paydo bo'lishda davom etadi).
Server tomonida mumkin server tomonidan mijozga yuborilgan ishonch zanjiridagi sertifikatlar ro'yxati (agar "AddTrust External CA Root" bilan bog'liq sertifikat ro'yxatdan o'chirilgan bo'lsa, mijozning tekshiruvi muvaffaqiyatli bo'ladi). Yangi ishonch zanjirini tekshirish va yaratish uchun siz xizmatdan foydalanishingiz mumkin . Sectigo ham muqobil o'zaro imzolangan oraliq sertifikat "", 2028 yilgacha amal qiladi va OTning eski versiyalari bilan moslikni saqlab qoladi.
Qo'shimcha: muammo ham LibreSSL-da.
Manba: opennet.ru