Vào Thứ Bảy, ngày 30 tháng 2020 năm XNUMX, một vấn đề không rõ ràng đã nảy sinh ngay lập tức với các chứng chỉ SSL / TLS phổ biến từ nhà cung cấp Sectigo (Comodo cũ). Bản thân các chứng chỉ tiếp tục theo thứ tự hoàn hảo, tuy nhiên, một trong các chứng chỉ CA trung gian trong chuỗi cung cấp các chứng chỉ này đã bị hỏng. Tình hình không phải là chết người, nhưng thật khó chịu: các phiên bản trình duyệt hiện tại không nhận thấy bất cứ điều gì, tuy nhiên, hầu hết các trình duyệt / hệ điều hành cũ và tự động hóa đều chưa sẵn sàng cho bước ngoặt như vậy.
Habr cũng không ngoại lệ, đó là lý do chương trình giáo dục / khám nghiệm tử thi này được viết.
TL; DR Giải pháp ở cuối cùng.
Hãy bỏ qua lý thuyết cơ bản về PKI, SSL / TLS, https và hơn thế nữa. Cơ chế xác thực bằng chứng chỉ bảo mật miền là xây dựng một chuỗi một số chứng chỉ cho một trong những chứng chỉ được trình duyệt hoặc hệ điều hành tin cậy, được lưu trữ trong cái gọi là Cửa hàng tin cậy. Danh sách này được phân phối cùng với hệ điều hành, hệ sinh thái thời gian chạy mã hoặc trình duyệt. Bất kỳ chứng chỉ nào cũng có ngày hết hạn sau ngày đó chúng được coi là không đáng tin cậy, kể cả chứng chỉ trong kho lưu trữ ủy thác. Chuỗi niềm tin trông như thế nào trước ngày định mệnh? Một tiện ích web sẽ giúp chúng tôi tìm ra nó từ Qualys.
Vì vậy, một trong những chứng chỉ "thương mại" phổ biến nhất là SSL tích cực của Sectigo (trước đây là SSL tích cực của Comodo, các chứng chỉ có tên này vẫn đang được sử dụng), nó được gọi là chứng chỉ DV. DV là cấp độ chứng nhận cơ bản nhất, nghĩa là xác minh quyền truy cập vào quản lý tên miền của nhà phát hành chứng chỉ đó. Trên thực tế, DV là viết tắt của "xác thực tên miền". Để tham khảo: cũng có OV (xác thực tổ chức) và EV (xác thực mở rộng) và chứng chỉ miễn phí từ Let's Encrypt cũng là DV. Đối với những người vì lý do nào đó không hài lòng với cơ chế ACME, sản phẩm SSL Tích cực là phù hợp nhất về giá cả / tính năng (chứng chỉ một miền có giá khoảng 5-7 đô la mỗi năm với tổng thời gian hiệu lực của chứng chỉ lên tới đến 2 năm 3 tháng).
Chứng chỉ Sectigo DV Generic (RSA) cho đến gần đây đã đi kèm với chuỗi CA trung gian này:
Certificate #1:
Data:
Version: 3 (0x2)
Serial Number:
7d:5b:51:26:b4:76:ba:11:db:74:16:0b:bc:53:0d:a7
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Validity
Not Before: Nov 2 00:00:00 2018 GMT
Not After : Dec 31 23:59:59 2030 GMT
Subject: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Certificate #2:
Data:
Version: 3 (0x2)
Serial Number:
13:ea:28:70:5b:f4:ec:ed:0c:36:63:09:80:61:43:36
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Validity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Subject: C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification AuthorityKhông có "chứng chỉ thứ ba", tự ký từ AddTrust AB, vì tại một số thời điểm, việc đưa chứng chỉ gốc tự ký vào chuỗi được coi là hành vi xấu. Lưu ý rằng CA trung gian do UserTrust của AddTrust cấp có ngày hết hạn là ngày 30 tháng 2020 năm 30. Điều này không dễ dàng, vì một quy trình ngừng hoạt động đã được lên kế hoạch cho CA này. Người ta tin rằng vào ngày 2020 tháng XNUMX năm XNUMX, chứng chỉ được ký chéo từ UserTrust sẽ xuất hiện trong tất cả các cửa hàng ủy thác vào thời điểm này (dưới vỏ bọc, đây là cùng một chứng chỉ, hay đúng hơn là khóa công khai) và chuỗi, ngay cả với đã bao gồm chứng chỉ không đáng tin cậy, sẽ có các đường dẫn thay thế được xây dựng và không ai để ý. Tuy nhiên, các kế hoạch đã trở thành hiện thực, cụ thể là "hệ thống kế thừa" dài hạn. Thật vậy, chủ sở hữu của các phiên bản trình duyệt hiện tại không nhận thấy bất cứ điều gì, tuy nhiên, hàng núi tự động hóa được xây dựng trên các thư viện curl và ssl / tls của một số ngôn ngữ lập trình và môi trường thực thi mã đã bị phá vỡ. Cần hiểu rằng nhiều sản phẩm không được hướng dẫn bởi các công cụ xây dựng chuỗi tích hợp trong HĐH mà “mang theo” cửa hàng ủy thác bên mình. Và chúng không phải lúc nào cũng chứa những gì họ muốn xem. . Và trong Linux, các gói như chứng chỉ ca không phải lúc nào cũng được cập nhật. Cuối cùng, mọi thứ dường như theo thứ tự, nhưng có gì đó không hoạt động ở đây và ở đó.
Từ Hình 1, rõ ràng là mặc dù mọi thứ trông bình thường đối với đại đa số, nhưng có điều gì đó đã bị hỏng đối với ai đó và lưu lượng truy cập giảm đáng kể (đường màu đỏ bên trái), sau đó nó tăng lên khi một trong các chứng chỉ khóa được thay thế (đường bên phải). Có những vụ nổ ở giữa, khi các chứng chỉ khác được thay đổi, điều gì đó cũng phụ thuộc vào đó. Vì phần lớn mọi thứ trực quan tiếp tục hoạt động ít nhiều đều đặn (ngoại trừ các trục trặc kỳ lạ như không thể tải ảnh trên Habrastorage), chúng tôi có thể đưa ra kết luận gián tiếp về số lượng máy khách và bot kế thừa trên Habré.
Hình 1. Biểu đồ "lưu lượng truy cập" trên Habré.
Hình 2 cho thấy cách một chuỗi “thay thế” được xây dựng trong các phiên bản hiện tại của trình duyệt thành chứng chỉ CA đáng tin cậy trong trình duyệt của người dùng, ngay cả khi có một chứng chỉ “thối” trong chuỗi. Điều này, như chính Sectigo tin tưởng, chính là lý do để không làm bất cứ điều gì.
Hình 2. Chuỗi chứng chỉ đáng tin cậy cho phiên bản trình duyệt hiện đại.
Nhưng trong Hình 3, bạn có thể thấy mọi thứ thực sự trông như thế nào khi có sự cố xảy ra và chúng tôi có một hệ thống kế thừa. Trong trường hợp này, kết nối HTTPS chưa được thiết lập và chúng tôi thấy lỗi như "xác thực chứng chỉ không thành công" hoặc lỗi tương tự.
Hình 3. Chuỗi bị vô hiệu vì chứng chỉ gốc và chứng chỉ trung gian được ký bởi nó bị "thối".
Trong Hình 4, chúng ta đã thấy một “giải pháp” cho các hệ thống cũ: có một chứng chỉ trung gian khác, hay đúng hơn là “chữ ký chéo” từ một CA khác, thường được cài đặt sẵn trong các hệ thống cũ. Đây là những gì bạn cần làm: tìm chứng chỉ này (được đánh dấu là Tải xuống bổ sung) và thay thế chứng chỉ "thối" bằng chứng chỉ đó.
Hình 4. Chuỗi thay thế cho các hệ thống cũ.
Nhân tiện: vấn đề không được công khai rộng rãi và một số loại thảo luận công khai, kể cả do sự kiêu ngạo quá mức của Sectigo. Ví dụ: đây là ý kiến của một trong những nhà cung cấp chứng chỉ trong đến tình huống này:
Trước đây họ [Sectigo] đảm bảo với mọi người rằng sẽ không có vấn đề gì. Tuy nhiên, thực tế là một số máy chủ/thiết bị cũ bị ảnh hưởng.
Đó là một tình huống lố bịch. Chúng tôi đã nhiều lần chỉ ra sự chú ý của họ đối với AddTrust RSA/ECC sắp hết hạn trong vòng một năm và mỗi lần Sectigo đều đảm bảo với chúng tôi rằng sẽ không có vấn đề gì xảy ra.
Cá nhân tôi đã hỏi trên Stack Overflow về vấn đề này một tháng trước, nhưng có vẻ như khán giả của dự án không phù hợp lắm với những câu hỏi như vậy nên tôi phải tự trả lời sau khi phân tích.
giáo phái Có một Câu hỏi thường gặp về chủ đề này, nhưng nó quá dài và khó đọc nên không thể sử dụng được. Đây là một trích dẫn là tinh hoa của toàn bộ ấn phẩm:
Bạn cần gì để làm
Đối với hầu hết các trường hợp sử dụng, bao gồm chứng chỉ phục vụ hệ thống máy khách hoặc máy chủ hiện đại, không cần thực hiện hành động nào, cho dù bạn có cấp chứng chỉ được liên kết chéo với gốc AddTrust hay không.Tính đến tháng 30, 2020: Đối với các quy trình kinh doanh phụ thuộc vào các hệ thống rất cũ, Sectigo đã cung cấp (theo mặc định trong các gói chứng chỉ) một gốc kế thừa mới để ký chéo, gốc “Dịch vụ chứng chỉ AAA”. Tuy nhiên, vui lòng hết sức thận trọng đối với bất kỳ quy trình nào phụ thuộc vào các hệ thống cũ rất cũ. Các hệ thống chưa nhận được các bản cập nhật cần thiết để hỗ trợ các root mới hơn như root COMODO của Sectigo chắc chắn sẽ thiếu các bản cập nhật bảo mật thiết yếu khác và nên được coi là không an toàn. Nếu bạn vẫn muốn ký chéo vào gốc Dịch vụ Chứng chỉ AAA, vui lòng liên hệ trực tiếp với Sectigo.
Tất nhiên, tôi thực sự thích luận án “rất cũ”. Ví dụ: cuộn tròn trong bảng điều khiển của Ubuntu Linux 18.04 LTS (hệ điều hành cơ sở của chúng tôi tại thời điểm này) với các bản cập nhật mới nhất không quá một tháng, thật khó để gọi là rất cũ nhưng nó không hoạt động.
Hầu hết các nhà phân phối chứng chỉ đã phát hành ghi chú quyết định của họ vào cuối buổi chiều ngày 30 tháng Năm. Ví dụ, rất phù hợp về mặt kỹ thuật từ (với mô tả cụ thể về những việc cần làm và với các gói CA được tạo sẵn trong kho lưu trữ zip, nhưng chỉ có RSA):
Hình 5. Bảy bước để sửa chữa mọi thứ một cách nhanh chóng.
Có từ Redhat, nhưng ngày càng có nhiều Di sản hơn và bạn cần cài đặt chứng chỉ kế thừa gốc hơn nữa từ Comodo để mọi thứ hoạt động.
phán quyết
Nó cũng đáng để sao chép giải pháp ở đây. Dưới đây là hai bộ chuỗi cho chứng chỉ DV Sectigo (không phải Comodo!), một cho chứng chỉ RSA quen thuộc, một cho chứng chỉ ECC (ECDSA) ít quen thuộc hơn (chúng tôi đã sử dụng hai chuỗi trong một thời gian dài). Với ECC, điều đó khó khăn hơn vì hầu hết các giải pháp không tính đến sự hiện diện của các chứng chỉ đó do mức độ phổ biến của chúng thấp. Do đó, chứng chỉ trung gian bắt buộc đã được tìm thấy trên .
Chuỗi chứng chỉ dựa trên thuật toán chính RSA. So sánh với chuỗi của bạn và lưu ý rằng chỉ chứng chỉ thấp hơn đã được thay thế, trong khi chứng chỉ trên vẫn giữ nguyên. Tôi phân biệt chúng ở nhà bằng ba ký tự cuối cùng của khối base64, không tính ký tự “bằng” (trong trường hợp này En8= и 1+V):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
# Algo: RSA, key size: 2048
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: 33:E4:E8:08:07:20:4C:2B:61:82:A3:A1:4B:59:1A:CD:25:B5:F0:DB
# SHA-256 Fingerprint: 7F:A4:FF:68:EC:04:A9:9D:75:28:D5:08:5F:94:90:7F:4D:1D:D1:C5:38:1B:AC:DC:83:2E:D5:C9:60:21:46:76
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
# Algo: RSA, key size: 4096
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
# SHA-256 Fingerprint: 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Chuỗi chứng chỉ dựa trên thuật toán chính ECC. Tương tự với chuỗi cho RSA, chỉ có chứng chỉ thấp hơn được thay thế, trong khi chứng chỉ trên vẫn giữ nguyên (trong trường hợp này fmA== и v/c=):
# Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo ECC Domain Validation Secure Server CA
# Algo: EC secp256r1, key size: 256
# Issuer: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Not valid before: 2018-11-02T00:00:00Z
# Not valid after: 2030-12-31T23:59:59Z
# SHA-1 Fingerprint: E8:49:90:CB:9B:F8:E3:AB:0B:CA:E8:A6:49:CB:30:FE:4D:C4:D7:67
# SHA-256 Fingerprint: 61:E9:73:75:E9:F6:DA:98:2F:F5:C1:9E:2F:94:E6:6C:4E:35:B6:83:7C:E3:B9:14:D2:24:5C:7F:5F:65:82:5F
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
# Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust ECC Certification Authority
# Algo: EC secp384r1, key size: 384
# Issuer: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
# Not valid before: 2019-03-12T00:00:00Z
# Not valid after: 2028-12-31T23:59:59Z
# SHA-1 Fingerprint: CA:77:88:C3:2D:A1:E4:B7:86:3A:4F:B5:7D:00:B5:5D:DA:CB:C7:F9
# SHA-256 Fingerprint: A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03:B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Nó khá là nhiều. Cám ơn vì sự quan tâm của bạn.
Nguồn: www.habr.com