Ni Oṣu Karun ọjọ 30, akoko ifọwọsi ọdun 20 ti ijẹrisi root ti pari , eyi ti awọn lati ṣe agbejade ami-agbelebu ni awọn iwe-ẹri ti ọkan ninu awọn alaṣẹ iwe-ẹri ti o tobi julọ Sectigo (Comodo). Iforukọsilẹ agbelebu gba laaye fun ibaramu pẹlu awọn ẹrọ ti o lelẹ ti ko ni ijẹrisi root USERTRust tuntun ti a ṣafikun si ile itaja ijẹrisi root wọn.
Ni imọ-jinlẹ, ifopinsi ijẹrisi root AddTrust yẹ ki o ja si irufin ibamu pẹlu awọn ọna ṣiṣe julọ (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9, ati bẹbẹ lọ), nitori ijẹrisi root keji ti a lo ninu ibuwọlu agbelebu ku wulo ati awọn aṣawakiri ode oni ṣe akiyesi rẹ nigbati o ṣayẹwo pq ti igbẹkẹle. Lori adaṣe Awọn iṣoro pẹlu ijẹrisi ibuwọlu agbelebu ni awọn alabara TLS ti kii ṣe aṣawakiri, pẹlu awọn ti o da lori OpenSSL 1.0.x ati GnuTLS. Asopọ to ni aabo ko ni idasilẹ pẹlu aṣiṣe kan ti o nfihan pe ijẹrisi naa ko ti pẹ ti olupin naa ba nlo ijẹrisi Sectigo ti o sopọ nipasẹ pq ti igbẹkẹle si ijẹrisi root AddTrust.
Ti awọn olumulo ti awọn aṣawakiri ode oni ko ba ṣe akiyesi isọdọtun ti ijẹrisi root root AddTrust nigba ṣiṣe awọn iwe-ẹri Sectigo ti o fowo si agbelebu, lẹhinna awọn iṣoro bẹrẹ lati gbe jade ni ọpọlọpọ awọn ohun elo ẹni-kẹta ati awọn olutọju ẹgbẹ olupin, eyiti o yori si ọpọlọpọ awọn amayederun ti o lo awọn ikanni ibaraẹnisọrọ ti paroko fun ibaraenisepo laarin awọn paati.
Fun apẹẹrẹ, nibẹ wà pẹlu iraye si diẹ ninu awọn ibi ipamọ package ni Debian ati Ubuntu (apt bẹrẹ lati ṣe ipilẹṣẹ aṣiṣe ijẹrisi ijẹrisi), awọn ibeere lati awọn iwe afọwọkọ nipa lilo awọn ohun elo “curl” ati “wget” bẹrẹ si kuna, awọn aṣiṣe ni a ṣe akiyesi nigba lilo Git, Syeed ṣiṣanwọle Roku n ṣiṣẹ, a ko pe awọn olutọju mọ и , bẹrẹ ninu awọn ohun elo Heroku, Awọn alabara OpenLDAP sopọ, awọn iṣoro pẹlu fifiranṣẹ meeli si SMTPS ati olupin SMTP pẹlu STARTTLS ni a rii. Ni afikun, awọn iṣoro ni a ṣe akiyesi ni ọpọlọpọ awọn iwe afọwọkọ Ruby, PHP ati Python ti o lo module pẹlu alabara http. Iṣoro aṣawakiri Epiphany, eyiti o dẹkun ikojọpọ awọn atokọ idinamọ ipolowo.
Awọn eto Go ko ni ipa nipasẹ iṣoro yii nitori awọn ipese Go TLS.
pe iṣoro naa ni ipa lori awọn idasilẹ pinpin agbalagba (pẹlu Debian 9, Ubuntu 16.04, ) eyiti o lo awọn ẹka OpenSSL iṣoro, ṣugbọn iṣoro naa tun nigbati oluṣakoso package APT nṣiṣẹ ni awọn idasilẹ lọwọlọwọ ti Debian 10 ati Ubuntu 18.04/20.04, niwon APT nlo ile-ikawe GnuTLS. Ohun pataki ti iṣoro naa ni pe ọpọlọpọ awọn ile ikawe TLS/SSL ṣe itupalẹ iwe-ẹri bi ẹwọn laini, lakoko ti o jẹ ibamu si RFC 4158, ijẹrisi kan le ṣe aṣoju aworan ipin ipin ti a ti pin pẹlu awọn idakọkọ igbẹkẹle lọpọlọpọ ti o nilo lati ṣe akiyesi. Nipa abawọn yii ni OpenSSL ati GnuTLS . Ni OpenSSL iṣoro naa ti wa titi ni ẹka 1.1.1, ati ni ku .
Gẹgẹbi iṣẹ ṣiṣe, o daba lati yọ ijẹrisi “AddTrust External CA Root” kuro lati ile itaja eto (fun apẹẹrẹ, yọkuro lati /etc/ca-certificates.conf ati /etc/ssl/certs, ati lẹhinna ṣiṣe “update-ca) -certificates -f -v"), lẹhin eyi OpenSSL bẹrẹ lati ṣe deede awọn iwe-ẹri ti o fowo si pẹlu ikopa rẹ. Nigbati o ba nlo oluṣakoso package APT, o le mu ijẹrisi ijẹrisi kuro fun awọn ibeere kọọkan ni eewu tirẹ (fun apẹẹrẹ, “apt-get update -o Acquire:: https://download.jitsi.org:: Jẹrisi-Peer=false”) .
Lati dènà iṣoro naa ni и O ti daba lati ṣafikun ijẹrisi AddTrust si akojọ dudu:
trust dump —filter «pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert» \
> /etc/pki/ca-trust/source/blacklist/adtrust-external-root.p11-kit
imudojuiwọn-ca-igbekele jade
Ṣugbọn ọna yii fun GnuTLS (fun apẹẹrẹ, aṣiṣe ijẹrisi ijẹrisi tẹsiwaju lati han nigbati o nṣiṣẹ ohun elo wget).
Lori ẹgbẹ olupin o le kikojọ awọn iwe-ẹri ninu pq ti igbẹkẹle ti olupin firanṣẹ si alabara (ti ijẹrisi ti o ni nkan ṣe pẹlu “AddTrust External CA Root” ti yọkuro lati atokọ naa, lẹhinna ijẹrisi alabara yoo ṣaṣeyọri). Lati ṣayẹwo ati ṣe ipilẹṣẹ pq igbẹkẹle tuntun, o le lo iṣẹ naa . Sectigo tun ijẹrisi agbedemeji ami-agbelebu yiyan"“, eyiti yoo wulo titi di ọdun 2028 ati pe yoo ṣetọju ibamu pẹlu awọn ẹya agbalagba ti OS.
Afikun: Isoro tun ni LibreSSL.
orisun: opennet.ru