30 мая истёк 20-летний срок действия корневого сертификата AddTrust, который применялся для формирования перекрёстной подписи (cross-signed) в сертификатах одного из крупнейших удостоверяющих центров Sectigo (Comodo). Перекрёстная подпись позволяла обеспечить совместимость с устаревшими устройствами, в хранилище корневых сертификатов которых не был добавлен новый корневой сертификат Sectigo...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53061
тот самый залетевший дятел, что разрушил цивилизацию?
Это скорее "кроилово ведет к попадалову". Да, это я про тебя, GnuTLS.
> Это скорее "кроилово ведет к попадалову". Да, это я про тебя, GnuTLS.Автовымарывание вырезало мой первоначальный коммент. Ну да ладно.
гнутлс это часть проблем. Сколько народа ещё попало с сидением на старых версиях опенссл и древнем ПО?
В gnutls багов, на минуточку, в разы меньше openssl. И пресловутый heartbleed на нем не работал, насколько я помню, будучи openssl'ной "фичой".
Нет ошибок там, где их не ищут.
А там есть ошибки - просто меньше. Разработчики openssl так по жизни известны тем что пишут код левой пяткой.
> А там есть ошибки - просто меньше. Разработчики openssl так по жизни
> известны тем что пишут код левой пяткой.Чем популярней проект, тем больше людей заинтересованы в регулярном его аудите. И openssl сегодня фактически монополист.
> openssl сегодня фактически монополист.Своими действиями они способствовали основательному изменению этого статуса. И, глядя на их отношение, поделом. Хватит с них того что при запросе HW акселерации эти умники RDRAND напрямую юзают, вообще не пытаясь это разбавить. За такое криптоламерство их вообще лучше в утиль списать.
GnuTLS это не древное ПО
GnuTLS это ПО с древними багами.Про проблему им репортили еще в 2014 году, однако патч вышел только когда жареный петух клюнул (часов 10 назад).
> Это скорее "кроилово ведет к попадалову". Да, это я про тебя, GnuTLS.Это явно не про него а про PKI и какие там еще циклические, б-ь, графы, в доверии. Всего четыре посредована в иерархии? О...еть, KILL IT WITH FIRE!!!
Что-то в последнее время дятлов становится всё больше и больше...
openssl (ssleay) разрабатывал человек, которого интересовала не секьюрить, а кое-как заплатить кредиткой со своего линукса. Потому что в тот момент это можно было сделать только с венды-проклятой на сервер с iis.Предполагалось, что это будет бесплатная затычка для того, что сделают правильно и хорошо большие дяди, а пока так сойдет от шибко продвинутых, не принимавших кредитки не заshitщенным протоколом.
А дяди, закономерно, не стали ничего делать правильно и хорошо - вот же, 6ешплатное - взять, взять!
(хотя, насколько я понимаю, nss таки этой проблеме не подвержен)gnutls таки да, макаки, только не веб, а гнутые. Надеявшиеся всем показать "как надо", а в результате сделавшие эталонное ненужно.
Ну и добавь сверху блестящие идеи вида "любой котик должен быть зашифрован и непременно сертификатом от trusted (кем надо!) authority", "пользователю не положено ничего решать" и так далее.
> 6ешплатное - взять, взять!Так там и протокол под стать. Половина openssl'овских дыр являются практически непосредственным следствием протокольного дизайна. Более того - в силу навороченности, кучи легаси и повсеместных спичек и желудей с опциональщиной, несекурными алго, кучей опций и проч дыры в нем тупо повсеместно. И даже этому самому IIS'у не раз и не два прилетало.
> (хотя, насколько я понимаю, nss таки этой проблеме не подвержен)
Это не страшно, в нем много других интересных проблем. Куски кода такого масштаба тупо не могут быть без багов.
> "как надо", а в результате сделавшие эталонное ненужно.
Этим "ненужно" пользуется довольно много софта - и таки не имеет проблем по типу heartbleed'а. А после такой серии факапов у них здорово прибавилось юзеров их либы.
> Ну и добавь сверху блестящие идеи вида "любой котик должен быть зашифрован
> и непременно сертификатом от trusted (кем надо!) authority", "пользователю не положено
> ничего решать" и так далее.В принципе пользователь может решать, но толку с этого немного - когда там вот такая иерархия оказывается, спятит не то что казуал с котиками но и 90% админов.
>> 6ешплатное - взять, взять!
> Так там и протокол под стать. Половина openssl'овских дыр являются практическипротокол был без нужды переусложнен, да. Но автор ssleay и не задавался целью его полноценно поддерживать, в этом отдельная беда. Он решил свою сиюминутную задачу максимально быстро и грязно.
> Этим "ненужно" пользуется довольно много софта - и таки не имеет проблем
> по типу heartbleed'а. А после такой серии факапов у них здоровонет hearbeat - нет проблемы, да? Ну так у тех у кого вообще http без ненужно-шифрования там где оно действительно не нужно - тоже ничего не болит.
> прибавилось юзеров их либы.
белки-истерички не могут не метаться.
> В принципе пользователь может решать, но толку с этого немного - когда
ну вот пользователи gnutls'нутых поделок уже убедились что нет, не могут.
> сиюминутную задачу максимально быстро и грязно.Не отменяет кучи дурных атак на сам протокол, вплоть до того что атакующий мог убедить клиент и сервер юзать небезопасные алгоритмы элементарным даунгрейдом протокола.
Иногда скелетов в шкафу надо выкидывать. И в коде и в протоколе, коли уж сразу сделать не смогли. А потом такие как ты прикольно кипишуют когда почему-то народ с радостными воплями выкидывает опенвпн и прочие айписеки в пользу вайргада, про которого торвальц сравнив размер кода выдает "work of art" :D. Вот SSL/TLS давно просится на ту же участь.
> нет hearbeat - нет проблемы, да?
Да. Без этой фичи вполне можно жить и поэтому совершенно ни к чему запихивать ее вообще всем в дефолтную реализацию протокола на всякий случай. Потому что потом приходит какой-то хрен и делает фиг знает чего. Крипто это не то место где надо наваливать кал и костыли про запас.
> Ну так у тех у кого вообще http без ненужно-шифрования там где оно действительно не нужно -
> тоже ничего не болит.Тут на самом деле трудно угадать где оно реально не нужно. Разве что в твоем интранете, при уверенности что он целиком под твоим контролем и никто не хулиганит. В остальных случаях креативно настроенные блэкхэты подкинут море интереснейших сюрпризов.
> белки-истерички не могут не метаться.
Ну как, делать из чужих проблем свои непонятно ради чего желающих тоже мало. Если авторы бакланят в безопасности - что ж теперь поделать? Майнеры из систем раз в месяц вынимать? Это не прикольно.
> ну вот пользователи gnutls'нутых поделок уже убедились что нет, не могут.
Да там и с openssl черт знает что. Ну вон ирц клиент. А теперь удачи понять как и кому он такой доверяет, допустим, вообще. Ну вот такой протокол что в лучшем случае это можно одуплить только будучи экспертом в вон той мегалибе, перечитав горы кода. Без этого все просто не гарантировано.
Просто грешки прошлого всплывают все чаще наружу.
Мир всё больше зависит от ПО
Без ПО сейчас у поезда колеса крутиться не будут. И это не шутка.
Настало время расконсервировать паровозы?
Бесполезно. Под них инфраструктуры уже нет.
Вместо угля можно ту же соляру тепловозную в топке жечь. Вот с водой может быть проблема, но она вроде решаема.Чтобы не надо было человеков утомлять и кучи ручек крутить, можно прикрутить управление компьютерное. Wait, OH SHI~
> Вместо угля можно ту же соляру тепловозную в топке жечь.И как, много народа поедет по цене авиабилетов? :)
>> Вместо угля можно ту же соляру тепловозную в топке жечь.
> И как, много народа поедет по цене авиабилетов? :)надо просто поднять цены на авиабилеты. Кстати, уже обещают что они подорожают к следующему году минимум вдвое.
Хотя пустое это. Еще лет пять в таком темпе - и все будут совершенно уверены, что аппараты тяжелее воздуха - бессмысленный вздор.
> надо просто поднять цены на авиабилеты.А следующим шагом логично перейти на доллары в качестве топлива. Заодно и вестерны вспомним.
> к следующему году минимум вдвое.
Ну так правильно - народ будет сидеть свободнее чем в бизнесклассе по требованиям регуляторов, чтобы не перезаражать друг друга нафиг.
> будут совершенно уверены, что аппараты тяжелее воздуха - бессмысленный вздор.
А по тому чуваку хвастающемуся работой батута и не скажешь :)
>Чтобы не надо было человеков утомлять и кучи ручек крутить, можно прикрутить управление компьютерное. Wait, OH SHI~Ну это уже снова про ПО, от которого выше хотели избавится.
У РЖД сейчас есть только одна модель локомотивов с частотными приводами. А то всё ещё выпрямители и комбинирование соединения коллекторных движков постоянного тока.
> У РЖД сейчас есть только одна модель локомотивов с частотными приводами.Поэтому сапсана и делает в результате сименс. А упыри с постоянным током идут обтачивать коллектор, под факи в спину от пассажиров за дерганую езду с testimonials "везут как дрова".
коллектор с постоянным током - это сильно и надежно. частотники - это дань моде. с электроникой на порядки сложнее и вероятностью отказа, какой они выигрыш дадут?
Есть Иволга!
Такова их природа.
С одной стороны не стоит так хейтить gnutls, потому что с ним всё достаточно очевидно. С другой стороны его тащат в левые (не гну) проекты поехавшие хейтеры openssl, и лишний раз указать тем на их место не повредит.
Может это всё-таки из-за того, что OpenSSL всё никак не перейдёт на более совместимую лицензию (OpenSSL 3.0, который обещает новую лицензию, никак не разродится)?
И чем нынешняя лицензия OpenSSL мешает интегрировать его в хейтерские проекты?
Ошибка 2000, к которой мы оказались не готовы
>Ошибка 2000, к которой мы оказались не готовыОшибка же, а не уязвимость.
> истёк 20-летний срок действия корневого сертификата AddTrust, который применялся для формирования перекрёстной подписи (cross-signed) в сертификатах одного из крупнейших удостоверяющих центров Sectigo (Comodo).Виновны сидят в Sectigo (Comodo)!
> проблема проявилась также при работе пакетного менеджера APT в актуальных выпусках Debian 10 и Ubuntu 18.04/20.04, так как APT использует библиотеку GnuTLS
Так надо было ZOG. Нет чтобы серт вовремя заменить и проблемы не было бы вообще.
GnuTLS здесь вообще нипричем, никаким боком!
> Компания Sectigo также предоставила альтернативный перекрёстно подписанный промежуточный сертификат "AAA Certificate Services", который будет действовать до 2028 года и позволит сохранить совместимость со старыми версиями ОС.
Это есть правильное исправление ошибки. Вот сделали бы это вовремя...
То есть что GnuTLS плевать хотел на RFC, проблема не GnuTLS?
А то что такую #$%анину вообще в RFC пишут, это интересно чьи проблемы?
Того, кто вовремя не предоставил свои C на этот R, вестимо.
GnuTLS наплевать что удостоверяющий центр Sectigo (Comodo) забыл выпустить вовремя новый серт в замен истекающего.
> GnuTLS наплевать что удостоверяющий центр Sectigo (Comodo) забыл выпустить вовремя новый
> серт в замен истекающего.он не забыл, его сертификат вовсе не истек и все еще подписан валидным CA. Если бы gnutlsные мартышки соблюдали стандарты - все бы работало и дальше. Но они не могут - читать не умеют, только кодить.
Ты именно такая типовая мартышка - даже не поняла, что, собственно, вызвало проблему - но виновата проклятая комода, конечно же.
У меня ко многим RFC по поводу https есть возражения.Sectigo (Comodo) должен был выпустить за год до истечения строка действия серта новый сертификат.
GnuTLS не виновен.
Дебу и убунте стоит отказаться от услуг удостоверяющего центра Sectigo (Comodo) и выпустить новые серты в нормальном удостоверяющим центре. После этого обновления заработают. А пользователям советую руками серты не добавлять.
https://www.linux.org.ru/forum/admin/15104732?cid=15113619
Вывод этого скрипта должен быть идентичен на всех компах подключенных к интернету. Сверте корневые сертификаты установленные у ваших системах.
> У меня ко многим RFC по поводу https есть возражения.Какое счастье что ты никто и звать тебя - никак.
> Sectigo (Comodo) должен был выпустить за год до истечения строка действия серта новый сертификат.
его сертификат НЕ ИСТЕК. Что тебе, тупице, неясно?
1:30 мая 2020 года, истёк 20-летний срок действия корневого сертификата AddTrust.
Чтобы избежать проблем 30 мая 2019 года удостоверяющий центр Sectigo (Comodo) должен был выпустить новый корневой сертификат в замен устаревающего. За год новый сертификат распространился бы менеджерами пакетов на компьютеры пользователей и глобальных проблем не было бы.
2:
Программистам не ставят задачу проверки и верификации RFC и не выделяют на это времени.
Не всегда для обеспечения безопасности надо следовать RFC в них есть закладки, особенно тех что касается https.
3:
Вот за оскорбление я вам не покажу проблемных RFC, нанимайте людей и исследуйте сами.
> Ты именно такая типовая мартышка - даже не поняла, что, собственно, вызвало
> проблему - но виновата проклятая комода, конечно же.Зато ты, пох, как НеТиповая мартышка можешь наконец начать уже замечать в чем собственно проблема с всем этим крапом :). Если ты думаешь что он такой один... хаха, проинвертируй этот взгляд, все ровно наоборот. Белые вороны - это те кто вообще хоть немного понимает как этот крап работает. Потому что все мутно и неочевидно, с циклическими, блин, графами в доверии.
> Если ты думаешь что он такой один...да хоть все четыре миллиарда.
Просто их составляющим лучше убрать руки подальше от софта вообще, не только крипто (а то они софт управления автомобилем так же напишут - прочитав документацию и ПДД как попало, запомнив только те абзацы что понравились и что удобно было реализовать).
Но от gnutls вообще-то сложно было ждать наличия разума и умения читать что-то кроме прокламаций.
Ку ку как comodo обновит миллионы неизвестных девайсов с рандомными операционками? Или вы думаете сертификаты это исполняемые файлы и сами себя обновляют
Обновление сертов дело пакетного менеджера используемого на девайсе дистрибутива.Дело Комодо - вовремя выпустить серт.
Дело мозилы - добавить новый серт
Дело разрабов дистра - обновить пакет с чертами мозилы
Дело админа - обновить используемую на девайсе ось.
s/чертами/сертами/ вражеский спелчекер похерил.
Учитывая длительный путь серта с офиса удостоверяющего центра Sectigo (Comodo) на девайсе пользователя, им стоило выпускать свой новый серт за год или хотя бы за полгода до истечения строка действия старого.
...а когда вся эта жуткая этажерка костылей наконец заваливается, половина глобуса встает раком но все делают козью морду - что вы, в таком демарше никто не виноват.
Этажерка посредников это конечно плохо.Зато виновного определяем сразу, в даном случае виновен: удостоверяющий центр Sectigo (Comodo), который вовремя не выпустил новый сертификат в замен устаревшего.
> Зато виновного определяем сразу,Ага, еще не успели остатки юзерей перестать дергать серваки в надежде что они отомрут... :)
> в даном случае виновен: удостоверяющий центр Sectigo (Comodo),
> который вовремя не выпустил новый сертификат в замен устаревшего.А если бы они даже и выпустили его - то чего? Он же не телепортируется всем юзерям путем черной магии...
Новые корневые серты стоит выпускать хотя бы за год до истечения строка действия старого. Процесс телепортации серта к юзерам длительный и иногда требует действительного старого сертификата. Установка прошлого системного времени костыль.
из-за срока действия ключа подписи, сейчас Debian 5, 6, про 7 не помню точно, превратились в тыкву :( их не поставишь по сети, не воспользуешься репозиториями :(
А что, традиционный способ надувания шаровари уже не катит? Неужто часы назад перевести не срабатывает? Назад, в будущее! :)
работает, конечно. но не хочется жить в прошлом :)
Ну так установил - и назад, в будущее!
Тогда куча других сертификатов слетит
Не сработает, кстати. При TLS-соединении сравнивается время на клиенте с сервере и если разница слишком большая (порядка нескольких часов) - соединение прерывается.
> Не сработает, кстати. При TLS-соединении сравнивается время на клиенте с сервере и
> если разница слишком большая (порядка нескольких часов) - соединение прерывается.А где и зачем дебиану при установке "TLS соединения" нужны? Я так понимаю что у него проблема с ключами от репо.
Добро пожаловать в мир легаси.
все очень плохо. Ничего не помогает, надеюсь что кто-то до понедельника найдет рабочее решение.
> надеюсь что кто-то до понедельника
> найдет рабочее решениеПочему именно до понедельника?
Многие нужные https-сайты уже недели 3 недоступны программам curl/wget, lynx/elinks.
> Многие нужные https-сайты уже недели 3 недоступны программам curl/wget, lynx/elinks.Можно пример? А то у меня отвалился curl некоторое время назад, но я отключил adns (c-ares) и всё чюдесным образом починилось.
если 3 недели назад, то это какието другие проблемы. Обсуждаемый сертификат сдох 30 мая в 13:48 по Москве и до этого момента он проблем не доставлялValidity
Not Before: May 30 10:48:38 2000 GMT
Not After : May 30 10:48:38 2020 GMT
Для wget есть ключ --no-check-certificate.
> Для wget есть ключ --no-check-certificate.Только потом не надо жаловаться что Васян налил майнер и стырил все бабки.
>> Для wget есть ключ --no-check-certificate.
> Только потом не надо жаловаться что Васян налил майнер и стырил все
> бабки.Ты не знаешь, анон, что такое wget? Просвещайся:
> Только потом не надо жаловаться что
> Васян налил майнер и стырил все бабкиПроблема не в том, что кто-то стырил бабки, ибо в выкачивании многих страниц никих денег нет, а в том, что --no-check-certificate теперь перестал помогать.
Нет худа без добра. Хоть одна радость веб-мастерам:> Из браузеров проблема затрагивает
> Epiphany, в котором перестали
> загружаться списки блокировки рекламыПравда, радость небольшая - браузер-то не сильно распространённый. Ну да ладно. И то дело. Мелочь, а приятно! :-)
> Программы на языке Go проблеме
> не подвержены, так как в Go
> предлагается собственная
> реализация TLSА есть ли написанные на языке Go аналоги программ wget, curl?
А то wget да curl перестали получать страницы с некоторых https-сайтов. Пляски с бубном вокруг их обновлений да обновлений ca_root_nss и даже ручные укладывания каких-то там сертификатов куда-то (точные каталоги не помню уж) к их оздровлению не приводят.
https://www.tecmint.com/kurly-alternative-to-linux-curl-comm.../
Curl может быть собран с любым аналогом. Хоть nss. Но зачем, если есть openssl? Ты думаешь, что угошная реализация чем-то лучше?
Http устарел, переходите на https говорили они. О дивный новый мир.
А нельзя было выдать сразу бессрочный сертификат или на 1000 лет :)
А таки да, интересно, сколько таких бомб еще всплывет
Нельзя - огрызок изо всех сил пытается вообще пропихнуть в картель сслщиков запрет на сертификаты сроком действия больше года. Даже корпоративные.
У него пока не получилось (то есть даже гугль с ms сказали "да ну нах") - но он уже воткнул такую проверку себе во впихоны - не вышло по правилам, впихнем через топ-топов у которых отвалится ваш сайт. Не будут же ж они понтовую мобилу менять ради него.И тем более ни в коем случае нельзя предоставить пользователю решать самому. Сегодня он сам решает, какому сертификату доверять, а завтра что - идет к Белому Дому с коктейлем молотова?!
Apple для всех актуальных систем установила следующие правила, в числе прочего ограничение на срок действия сертификата, не более 825 дней. Коммерческие сертификаты более чем на два года я и так не видел, само-подписные может быть, для корневых сертификатов данное требование не актуально само-собой.
Потому я презираю Let's Encripple и хомячков, которые на него дёргают.
Завтра Большой Жрат распорядится невыдать сертификат - и через день сайтик протухнет. А то вот ещё - 10 лет ждать!
> Потому я презираю Let's Encripple и хомячков, которые на него дёргают.
> Завтра Большой Жрат распорядится невыдать сертификат - и через день сайтик протухнет.это он и раньше мог делать. Ну, до истребления crl'ов и отключенного по умолчанию ocsp.
А вот выписать себе новый, так чтоб никто вообще этого не смог заметить - это он может теперь, когда certpatrol, pkp и любые другие технологии, основанные на доверии сертификатам, а не левым людям, мамой клянущимся что валидный - окончательно уничтожены.Зато бебебезопастно!
Через день ничего не протухнет. А 3 недель вполне достаточно, чтобы в случае проблем (у вас же настроен мониторинг сертификатов?) вовремя среагировать и переключиться на что-то еще.
> (у вас же настроен мониторинг сертификатов?)А ты из дома с миноискателем, надеюсь, выходишь? На случай если благодарный сосед мину для тебя закопал.
> А нельзя было выдать сразу бессрочный сертификат или на 1000 лет :)Это чтобы им лет через эн начали подписывать все и вся, и никто типа не виноват, поскольку фирма давно ласты склеила? :)
Есть же процедура отзыва сертификата :)
Какая такая процедура? Которая по умолчанию выключена во всех браузерах?
если фирма правильно склеила ласты - ее сертификат торжественно уничтожен при большом скоплении народа - никто им ничего подписать уже не сможет.Если фирма склеила ласты способом diginotar - ее сертификат просто будет удален всеми еще до окончания процедуры ее банкротства. Точнее, именно этот процесс и послужит ее неизбежному свершению, как это произошло со startssl.
Идиотия, что короткоживущие сертификаты хоть от чего-то защищают - из того же источника что и уничтожение всех конкурентов очередной гуглевой марионетки.
> если фирма правильно склеила ласты - ее сертификат торжественно уничтожен при большом
> скоплении народа - никто им ничего подписать уже не сможет.И хде это все регламентировано? Хочу посмотреть на что-нибудь такое. Можно начать с DigiNotar'а, чтоли.
> Идиотия, что короткоживущие сертификаты хоть от чего-то защищают
Де факто PKI таки та еще фикция - потому что кто попало может подписать что попало.
> Можно начать с DigiNotar'а, чтоли.он как раз неправильно склеил ласты - его сертификат превратился в тыкву, когда покойничек еще потел.
А startssl и вовсе сдох именно от превращения вполне валидного и никуда не утекшего сертификата в тыкву - потому что не был правильно соблюден обряд его похорон.
Поэтому даже если бы их сертификаты действовали тысячи лет - никому бы не помешали. У меня сертификат для внутренних целей тоже на сто лет выдан - но ему все равно доверяет только мой браузер.
> Де факто PKI таки та еще фикция - потому что кто попало может подписать что попало.
кто попало - не может. История startssl тому примером.
Интересно, норвеги - следующие?
> его сертификат превратился в тыкву, когда покойничек еще потел.Там распиарено получилось - комод очень уж эпично постебся над маздайцами с их проприентарными решениями. А вот тут сертификат превратился в тыкву, а только потом вспотели.
> потому что не был правильно соблюден обряд его похорон.
И тем не менее, усвоили не все и до сих походу не всех отвадили.
> лет выдан - но ему все равно доверяет только мой браузер.
Ну вот если твой браузер - тогда да. А так - смысл в том что упертые приватные ключи все же постепенно протухают. А не так что вы все 100 лет курите на бочке с порохом.
> кто попало - не может. История startssl тому примером.
На одну эту историю есть с десяток более мутных, где только пропесочили но не удалили.
> Интересно, норвеги - следующие?
А черт знает. Обезьян есть, гранат у них в избытке, гадай теперь кто первый разберется.
> Http устарел, переходите на https говорили они. О дивный новый мир.
> А нельзя было выдать сразу бессрочный сертификат или на 1000 лет :)А нельзя! Ну в смысле - можно, наверно, но бесполезно ж. Через 1000 лет сертификат всё-равно устарел бы и появилась бы уже проблема-3000.
Вспоминается по этой теме бородатый, 20-летней давности, анекдот:
COBOL-программист перед приближением "проблемы-2000" забодался бегать и спасать от этой проблемы всех подряд, изобрёл криокамеру, заморозил себя лет на 5 - до тех пор, пока все уже справятся с "проблемой-2000" и тогда у него не будет суеты. Но из-за сбоя программы криокамера его не разбудила через 5 лет, а разбудили его люди только через ту самую тысячу лет и из какого-то облака какой-то лик ему всё это рассказал и говорит, мол, всё у нас в обществе круто, но вот подходит "проблема-3000", у нас осталась куча программ 1000-летней давности на языке COBOL, а только в Вашем досье
написано про то, что вы знаете - что это такое. :-)
debian 10, столкнулся с тем, что стал openconnect ругаться со вчерашнего дня
в файле /etc/ca-certificates.conf заремил строку !mozilla/AddTrust_External_Root.crt
выполнил update-ca-certificates -f -v
openconnect ругаться перестал
Вот как раз 10-я дубина у меня нормально работает.
А вот 9-ю вчера лечил как раз этим способом через выпиливание этого серта из системы.
полет нормальный.
Подтверждаю, на Debian 9 и форках достаточно закомментить и апнуть, как выше написано :)
^^ UPD: Нормально помогает распарсить свой .crt найти и выкинуть истёкший из цепочки, пересобрать/перезапустить
В centos 6 нет утилиты trust, она только в центе 7.
Наверное, проще таки удалить проблемный серт из /etc/ssl/certs/ca-bundle.crt
Когда приедет следующее обновление пакета с этим файлом, то этот серт наверняка оттуда удалят.
Время от времени, в т.ч. сейчас, мне приходится (не ради удовольствия, а для работы) использовать Windows XP. Попутно читаю новости. (Машину с Devuan'ом в последние дни не включал и не проверял, что там происходит в связи с устареванием этого сертификата.)Вчера, 30.05.2020, я попытался открыть страницу "Вконтакте". Я там не зарегистрирован, поэтому захожу на этот сайт только изредка, по ссылкам из новостей.
Браузер Pale Moon 24.7.2 написал, что сертификат просрочен.
Я предположил, что в файле cert8.db ошибка, перенес его из профиля в другое место и перезапустил браузер.
В профиле появился новый файл cert8.db, меньшего размера; страница опять не открылась с той же ошибкой.
Тогда я удалил новый файл, вернул старый, опять перезапустил браузер, и страница открылась.Кто-то может объяснить, что произошло?
Ты её переупрямил.
Подскажите примеры сломавшихся сайтов, чтоб у себя проверить.
https://api.rbkgames.com/ :)
спс
на нём нету AddTrust
Social Club у Rockstar отвалился.
Я ничего не удалял, только запустил команду
update-ca-certificates -f -vи APT вроде как снова работает нормально.
Devuan 2.1.
Нет подключения к интернету -- нет проблемы.А вообще, вся эта X.509 система -- какое-то адское нагромождение костылей.
Во-первых, потому что в нём де факто нет идентификации клиента. Я знаю про всякие странные конфигурации с прокидыванием в браузер клиентского сертификата, но это редкость.
Во-вторых, потому что вся игра с сертификатами отдана на откуп вендорам оконечных девайсов, хотя по уму сертификат должен быть ответственностью как минимум не только его. Вполне можно было бы построить систему, в которой юзверь подписывает договор с удостоверяющим центром, и ходит раз в год обновлять свои и корневые сертификаты в УЦ. Так, собственно, уже работает OpenPGP или даже странная российская "электронная подпись".
> Во-первых, потому что в нём де факто нет идентификации клиента.идентификация клиента в нем есть, учи матчасть, двоечник.
Просто это несколько неудобно - и клиентам, и тем кто предоставляет им услугу. Потому что в большинстве случаев совершенно все равно, кому ее предоставлять, лишь бы данные кредитки совпали.> Вполне можно было бы построить систему, в которой юзверь подписывает договор с удостоверяющим
> центром, и ходит раз в год обновлять свои и корневые сертификаты в УЦ.лично с паспортом, или можно через госуслуги? А пошлину платить раз в год, или включат в счет за электричество? (Мыло и веревку свои приносить, или там дадут?)
Вполне возможно, что в чебурнете так и будет - заодно мазок на коровавирус заставят сдать.
К сожалению, весь остальной мир пока пошлет с такими идеями найух. Приходится действовать постепенно.Вполне можно было бы построить такую систему, где доверяют - сертификатам, а не подписантам (и изначально ssl именно такой системой и был), их подпись всего лишь одна из дополнительных возможностей _разовой_ проверки _ранее_незнакомого_ тебе сертификата.
Но, поскольку при этом не получается за всеми следить - были предприняты определенные шаги, чтобы так просто не получалось, даже в изолированных сетях.
Вон дядя, покажи ему свой биометрический паспорт, сделай селфи со снилсом в зубах, он поставит (электронный, а как же) штампик.
Бараны радностно блея бегут в стойло - зато бебебебезопастно!
> идентификация клиента в нем есть, учи матчасть, двоечник.Я и написал "де факто". Сам логинюсь на cacеrt'овский сайт через сертификат. Но так мало кто делает.
> Приходится действовать постепенно.
Отставить паранойю. OpenPGP-Web-Of-Trust так уже много лет работает. Ходят погромисты друг к другу в гости, и делают keysigning party. Наоборот, это гибче даже получается.
Ну а для тех, кто не хочет keysigning party, должно быть можно в Связном заплатить пошлину.
> Вполне можно было бы построить такую систему, где доверяют - сертификатам, а
> не подписантам (и изначально ssl именно такой системой и был)Так и сейчас доверяют сертификатам -- сертификатам УЦ. Сайтов кругом миллион, и сертификаты сайтов хотелось бы менять каждую сессию, ибо вдруг чего. Проблема не в самой идее УЦ, а в том, что какой-то абстрактный дядя за тебя решает, какому УЦ ты доверяешь. Мозилла и Гугл -- это ещё хотя бы люди, на которых можно ругаться в соцсетях. А производитель телефона -- вообще никто и звать его никак. Ходить раз в год и выбирать УЦ, которому доверяешь -- это как раз больше свободы юзеру, а не меньше.
> Вон дядя, покажи ему свой биометрический паспорт, сделай селфи со снилсом в
> зубах, он поставит (электронный, а как же) штампик.
> Бараны радностно блея бегут в стойло - зато бебебебезопастно!Государство скорее закроет интернет нахрен, чем откажется от возможности следить за людьми. Надо быть реалистичными, и саботировать слежку так, как это работает, а не так, как этого хотелось бы утопистам от свободы информации. Надо напирать на те аргументы, которые люди слышат. Слышат про безопасность -- надо говорить от безопасности. В частности, тот факт, что в компах стоят протухшие на 20 лет сертификаты -- это _очень_ небезопасно.
> Я и написал "де факто".ну вот де-факто - есть.
А предъявлять паспорт и снилс входя в магазин за хлебушком - желающих нет.> Отставить паранойю. OpenPGP-Web-Of-Trust так уже много лет работает.
там совсем другой подход - никаких "trusted ca". По этой причине, кстати, и не работает. Гладко было на бумаге.
> Так и сейчас доверяют сертификатам -- сертификатам УЦ.
сейчас доверяют подписи этим сертификатом на сертификате васяна. Причем принята масса специальных мер, чтобы просто сертификату васяна ты доверять не мог. Включая и его одноразовость.
> Государство скорее закроет интернет нахрен, чем откажется от возможности следить за людьми.
гугл и мурзила - скорее государство в государстве.
Ничего личного, just a business.У меня в помойке два приглашения на собеседование. Один от ntechlab, второй от хуавэя. Причем про второй я спросил - там не 60 тыщ и действующие сертификаты ccie и jncie, там вполне нормальные требования и зарплата выше средней по отрасли - при всей жадности плохой дороги, за это она готова платить.
Вполне коммерческие предприятия. С умненькими мальчиками там работающими.
> В частности, тот факт, что в компах стоят протухшие на 20 лет сертификаты -- это _очень_
> небезопасно.это совершенно безопасно. Ты замок в двери меняешь каждые пол-года просто на всякий случай?
Или все же - только когда и если потерял ключ?А ключи от self-signed сертификатов CA потерять гораздо сложнее чем ключи от квартиры - они при правильном обращении (и это _проверяется_ прежде чем твой сертификат добавят мурзогугли - впрочем, последние двадцать лет они только свою марионетку добавили, а проверка доверена каким-то комитетам, не умевшим правильно настроить веб-сайт) не то что из дома не выносятся, а вообще не используются никогда. Используется второй или даже третий intermediate. Ключ от основного нужен только если их понадобилось перевыпустить. Ну или подписать вот ключ другого CA. Случается примерно раз в 20 лет.
> ну вот де-факто - есть.Это "де юре", а не де факто. Типа, пользуются полтора гика.
> А предъявлять паспорт и снилс входя в магазин за хлебушком - желающих
> нет.Да серьёзно что ли? Все внезапно стали снова платить наличкой? Любая транзакция по карте -- это паспорт и ИНН (может, и не снилс, точно не уверен).
> там совсем другой подход - никаких "trusted ca". По этой причине, кстати,
> и не работает. Гладко было на бумаге.Ровно потому, что есть альтернатива, с корневыми УЦ. Ходили бы люди в раз в год в Связной выбирать УЦ из списка, система была бы поживее.
> сейчас доверяют подписи этим сертификатом на сертификате васяна. Причем принята масса специальных
> мер, чтобы просто сертификату васяна ты доверять не мог. Включая и
> его одноразовость.Кто тебе мешает-то? Добавь васянский сертификат в доверенные, и пользуйся. Самоподписанный SSL работает, пусть и с ворнингом. Только как ты узнаешь, что это васян, а не MITM.
> гугл и мурзила - скорее государство в государстве.
> Ничего личного, just a business.Плевал я на гугл и мурзилу. Им ничего, кроме впаривания мне рекламы, от меня не нужно. А почитать их код я могу свободно, чего про "госуслуги" пока даже помыслить невозможно.
> Вполне коммерческие предприятия. С умненькими мальчиками там работающими.
Тут я вообще ничего не понял, какая-то конспирология. Хуавэй сегодня есть, а завтра его нет. Хотя нет, Хуавэй китайцы спасут в случае чего, пока Трамп на него обижен, но Трамп тоже не вечен. Сдохнет Хуавэй, и забудем про него, и вся работа умных мальчиков улетит в унитаз.
> это совершенно безопасно. Ты замок в двери меняешь каждые пол-года просто на
> всякий случай?
> Или все же - только когда и если потерял ключ?Ни хрена себе безопасно! Я до сих пор по половине офисов старых работ могу пройти как по паркету, потому что заблаговременно делал копии ключей. Гавно твоя аналогия.
> А ключи от self-signed сертификатов CA потерять гораздо сложнее чем ключи от
> квартиры - они при правильном обращении (и это _проверяется_ прежде чем
> твой сертификат добавят мурзогугли - впрочем, последние двадцать лет они только
> свою марионетку добавили, а проверка доверена каким-то комитетам, не умевшим правильно
> настроить веб-сайт) не то что из дома не выносятся, а вообще
> не используются никогда. Используется второй или даже третий intermediate. Ключ от
> основного нужен только если их понадобилось перевыпустить. Ну или подписать вот
> ключ другого CA. Случается примерно раз в 20 лет.Не надо ничего терять. За двадцать лет хороший человек легко превращается в мудака, а мудак в хорошего человека.
> За двадцать лет хороший человек легко превращается в
> мудака, а мудак в хорошего человека.Примеры чудесных превращений — в студию!
>> За двадцать лет хороший человек легко превращается в
>> мудака, а мудак в хорошего человека.
> Примеры чудесных превращений — в студию!Готов отказаться от второй части заявления. (Хотя мне кажется, видел такое.)
> Готов отказаться от второй части заявления. (Хотя мне кажется, видел такое.)Это не про твоего собеседника. Хотя, возможно, он таким был с самого начала?
> Кто тебе мешает-то? Добавь васянский сертификат в доверенные, и пользуйся.инфа стопроцентов, или ты один раз попробовал?
> Самоподписанный SSL работает, пусть и с ворнингом.
только на васян-хосте с web0.1
На остальных уже не работает.> Только как ты узнаешь, что это васян, а не MITM.
проверю сертификат по другим каналам.
Или, что гораздо более вероятно, предположу что Организация конечно всесильна и вездесуща, но подсунуть один и тот же в кафешке в Хайдерабаде и в офисе в Стамбуле даже ей затруднительно. И если сертификат один и тот же уже который год - вероятнее всего он настоящий, и митм организован путем его кражи. А если его можно спереть - то это можно делать и раз в день.> Ни хрена себе безопасно! Я до сих пор по половине офисов старых работ могу пройти как по паркету,
> потому что заблаговременно делал копии ключей. Гавно твоя аналогия.Нет, гавно твои офисы и система безопасности в них.
И вот по этой причине проверки кандидатов в trusted ca строже чем даже pci-dss, которая напрочь исключает возможность "сделать копии ключей" незаметно для окружающих.Но ты замок на двери все же меняй раз в неделю - а то твой ключ тоже кто-то успел скопировать. Что помешает ему обналичить результат немедленно, а не откладывать на неделю - учоные спорят.
> Не надо ничего терять. За двадцать лет хороший человек легко превращается в мудака, а мудак в
> хорошего человека.не превращается. И перевыпуск ключа раз в неделю от этого тоже ничем не поможет - вот он и перевыпустит, и десять копий налево в том числе. Каждую неделю новых.
А вот отследить теперь - невозможно.В отличие от простого и банального доверия - ключам, а не подписям на них.
> На остальных уже не работает.Имеется в виду HSTS что ли? Так это выбор сервера, включать его или нет. Все вопросы к васяну. DNS течёт постоянно, по ошибке добавить сертификат от "великого файрвола" в доверенные не легко, а прямо очень легко.
> проверю сертификат по другим каналам.
Ты и полтора анононимуса.
>А если его можно спереть - то это можно делать и раз в день.
Ничего себе! Разъсните мне, как это получается? Как его можно потерять один раз, я понимаю -- скажем, пришли "маски шоу" и отняли волшебную флешку. А вот как его можно красть раз в день -- это я уже не понимаю. Я это без шутки спрашиваю. Как такое может быть?
> Нет, гавно твои офисы и система безопасности в них.
Так и у васянов хосты говно 99%.
> И вот по этой причине проверки кандидатов в trusted ca строже чем
> даже pci-dss, которая напрочь исключает возможность "сделать копии ключей" незаметно для
> окружающих.Ну и что в этом плохого?
> обналичить результат немедленно, а не откладывать на неделю - учоные спорят.
Как, блин, чего? Что значит "обналичить". Обналичить -- это же не номер карты украсть, это опротестовывается на раз, и больше двух тысяч юаней в день не вывести, а внезапное списание 2к юаней я мгновенно спалю. Обналичить -- это подсадить закладку и (а) иметь возможность подложить причину для ареста, например, детское порно, когда нужно будет арестовать (вместо подбрасывания наркотиков), (б) потихоньку чарджить карту на пару центов в день, потому что среди пары десятков трат в день, (в) читать мою переписку и косвенно собирать компромат на других людей, (г) красть мои пароли и слать спам от моего имени, (д) понижать социальный рейтинг.
Это всё требует перманентного доступа. Одноразовая протечка -- это несущественно, если она работает сутки или вообще сессию.
> не превращается. И перевыпуск ключа раз в неделю от этого тоже ничемКак он перевыпустит, если у всех будет написано в кондуите, что человек подписывает всякий трэш и вообще фродстер? Просто ему никто доверять не будет. А так пусть выпускает, может, даже убедит кого.
> В отличие от простого и банального доверия - ключам, а не подписям
> на них.Ага, всем ста миллиардам.
> Имеется в виду HSTS что ли?ты не в теме - совсем.
>> проверю сертификат по другим каналам.
> Ты и полтора анононимуса.certpatrol был скачан многие сотни тысяч раз.
> Ничего себе! Разъсните мне, как это получается? Как его можно потерять один раз, я понимаю --
> скажем, пришли "маски шоу" и отняли волшебную флешку.и что им мешает приходить раз в неделю, если первый раз прокатило?
(лень. Сам езди и привози обновления, раз такой умный. Не приедешь - придут.)У тебя совершенно фантазийная модель угроз. В реальной жизни они совершенно другие.
> Так и у васянов хосты говно 99%.
у тебя фантазийная модель угроз.
> Ну и что в этом плохого?
в этом - ничего. В сертификате ca с валидностью хоть 1000 лет - тоже.
> Как, блин, чего? Что значит "обналичить".
если я украл ключи от твоей квартирки - наверное, я хочу их применить по назначению? Ну так зачем откладывать, пока ты ключ сменишь? Обнесу, пожалуй, прямо сразу.
>> В отличие от простого и банального доверия - ключам, а не подписям
> Ага, всем ста миллиардам.мне не нужны стомиллиардов. Мне нужно меньше десятка (и это меньше чем напиханных в браузер ненужно-CA)
> ты не в теме - совсем.Ну так расскажи мне. Иначе зачем вообще было ввязываться в трэд. Мне интересно, что я упускаю.
> certpatrol был скачан многие сотни тысяч раз.
Это копейки раз.
> и что им мешает приходить раз в неделю, если первый раз прокатило?
А то, что её там не будет. Один раз нормально попасться в ловушку одного типа, два уже собственная ошибка.
> (лень. Сам езди и привози обновления, раз такой умный. Не приедешь -
> придут.)С таким вообще ничего не сделать.
> У тебя совершенно фантазийная модель угроз. В реальной жизни они совершенно другие.
И какие же? Мне правда интересно. Обещаю обновить свою модель угроз.
>> Так и у васянов хосты говно 99%.
> у тебя фантазийная модель угроз.У васянов хорошие хосты?
> в этом - ничего. В сертификате ca с валидностью хоть 1000 лет
> - тоже.Кроме списков отзыва на триллионы штук. И потери доверия к сертификатам.
> если я украл ключи от твоей квартирки - наверное, я хочу их
> применить по назначению? Ну так зачем откладывать, пока ты ключ сменишь?
> Обнесу, пожалуй, прямо сразу.У тебя фантазийная модель угроз. Вернее не фантазийная конечно, но слишком узкая. Потерять дневной лимит по карте не страшно.
> мне не нужны стомиллиардов. Мне нужно меньше десятка (и это меньше чем
> напиханных в браузер ненужно-CA)Ради своих 9 штук можешь вручную добавить доверие. Если что, пересобрав браузер и сервера своих 9 друзей.
> Нет подключения к интернету -- нет проблемы.А если еще компьютер не включать... :)
> А вообще, вся эта X.509 система -- какое-то адское нагромождение костылей.
Оно не может быть секурно - by design.
Ребят не в курсе как на alpine linux 3.7 это пофиксить, серт закомментировал, но обновить не могу (bash-4.4# update-ca-certificates -f -v
WARNING: ca-certificates.crt does not contain exactly one certificate or CRL: skipping
Спокойно, качаем Windows 10, устанавливаем и пользуемся нормальной системой
> Спокойно, качаем Windows 10, устанавливаем и пользуемся нормальной системойПоимев еще рекламу в тривиальных играх и кейлоггера в комплекте. Майкрософт, вы лохи - майнер встроить забыли!
Решение. Скриптом костыль для клиента.
sed 's/mozilla\/AddTrust_External_Root.crt//g' -i /etc/ca-certificates.conf
ls -l /etc/ssl/certs/ | grep AddTrust_External | awk '{print $9}' | while read bad_cert; do rm -f /etc/ssl/certs/$bad_cert; done
update-ca-certificates -f -v
По нормальному это демон системы должен отстреливать или сыпать в логи информацию. На деле продолжаем пользоваться просроченным сертификатом
> По нормальному это демон системы должен отстреливать или сыпать в логи информацию.https://www.opennet.ru/openforum/vsluhforumID3/120795.html#116
и да, в б-жественной десяточке есть такой, хм, демон.
А в юниксе предполагалось что есть админ, но это давно было. Теперь он обычный пользователь, которому нельзя доверить ничего самому решать.
> На деле продолжаем пользоваться просроченным сертификатомне продолжаем, ничего ж не работает.
systemd-ca нужен
запилишь фичреквест?
Я уверен, это не закроют с notabug - нужным и полезным предложениям там всегда рады.Надо только придумать, как сделать его неотключаемым ("как в винде", разумеется)
Однострочник для ubuntu:
sed -i 's/mozilla\/AddTrust_External_Root.crt/!mozilla\/AddTrust_External_Root.crt/' /etc/ca-certificates.conf && update-ca-certificates
Диаграмма с красными подчёркиваниями доставляет )PS: спасибо что напомнили обновить сертификаты )
У меня из-за этого долбанного сертификата Figma не работает. Как решить проблему с сертификатом на windows 10?
в debiane 10 новый пакет прилетелStart-Date: 2020-06-08 15:06:09
Upgrade: ca-certificates:amd64 (20190110, 20200601~deb10u1)
End-Date: 2020-06-08 15:06:17