The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Устаревание корневого сертификата AddTrust привело к сбоям в системах с OpenSSL и GnuTLS

31.05.2020 10:14

30 мая истёк 20-летний срок действия корневого сертификата AddTrust, который применялся для формирования перекрёстной подписи (cross-signed) в сертификатах одного из крупнейших удостоверяющих центров Sectigo (Comodo). Перекрёстная подпись позволяла обеспечить совместимость с устаревшими устройствами, в хранилище корневых сертификатов которых не был добавлен новый корневой сертификат USERTRust.

Теоретически прекращение действия корневого сертификата AddTrust должно было привести лишь к нарушению совместимости с устаревшими системами (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 и т.п.), так как второй корневой сертификат, используемый в перекрёстной подписи остаётся актуальным и современные браузеры учитывают его при проверке цепочки доверия. На практике обнаружились проблемы с проверкой перекрёстной подписи в не использующих браузеры TLS-клиентах, в том числе на базе OpenSSL 1.0.x и GnuTLS. Безопасное соединение перестало устанавливаться с выводом ошибки об устаревании сертификата, если на сервере используется сертификат Sectigo, связанный цепочкой доверия с корневым сертификатом AddTrust.

Если пользователи современных браузеров не заметили устаревания корневого сертификата AddTrust при обработке перекрёстно подписанных сертификатов Sectigo, то в различных сторонних приложениях и серверных обработчиках начали всплывать проблемы, что привело к нарушению работы многих инфраструктур, использующих шифрованные каналы связи для взаимодействия между компонентами.

Например, возникли проблемы с доступом к некоторым репозиториям пакетов в Debian и Ubuntu (apt стал выдавать ошибку проверки сертификата), стали завершаться сбоем обращения из скриптов при помощи утилит "curl" и "wget", наблюдаются ошибки при использовании Git, нарушилась работа платформы потокового вещания Roku, перестали вызываться обработчики Stripe и DataDog, начали возникать крахи в приложениях Heroku, перестали подключаться клиенты OpenLDAP, фиксирутся проблемы с отправкой почты на серверы SMTPS и SMTP со STARTTLS. Кроме того наблюдаются проблемы в различных Ruby-, PHP- и Python-скриптах, использующих модуль с http-клиентом. Из браузеров проблема затрагивает Epiphany, в котором перестали загружаться списки блокировки рекламы. Программы на языке Go проблеме не подвержены, так как в Go предлагается собственная реализация TLS.

Предполагалось, что проблема затрагивает старые выпуски дистрибутивов (включая Debian 9, Ubuntu 16.04, RHEL 6/7) в которых используются проблемные ветки OpenSSL, но проблема проявилась также при работе пакетного менеджера APT в актуальных выпусках Debian 10 и Ubuntu 18.04/20.04, так как APT использует библиотеку GnuTLS. Суть проблемы в том, что многие TLS/SSL-библиотеки разбирают сертификат как линейную цепочку, в то время как в соответствии с RFC 4158 сертификат может представлять ориентированный распределённый циклический граф с несколькими якорями доверия, которые нужно учитывать. О данной недоработке в OpenSSL и GnuTLS было известно уже много лет. В OpenSSL проблема была устранена в ветке 1.1.1, а в GnuTLS остаётся неисправленной.

В качестве обходного пути устранения сбоя предлагается удалить из системного хранилища сертификат "AddTrust External CA Root" (например, удалить из /etc/ca-certificates.conf и /etc/ssl/certs, а затем запустить "update-ca-certificates -f -v"), после чего OpenSSL начинает нормально обрабатывать перекрёстно подписанные сертификаты с его участием. При использовании пакетного менеджера APT на свой страх и риск можно отключить для отдельных запросов проверку сертификатов (например, "apt-get update -o Acquire::https::download.jitsi.org::Verify-Peer=false").

Для блокирования проблемы в Fedora и RHEL предлагается добавить сертификат AddTrust в чёрный список:


   trust dump --filter "pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert" \
      > /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
   update-ca-trust extract

Но данный способ не работает для GnuTLS (например, продолжает выдаваться ошибка проверки сертификата при запуске утилиты wget).

На стороне сервера можно изменить порядок перечисления сертификатов в цепочке доверия, отправляемых сервером к клиенту (если связанный с "AddTrust External CA Root" сертификат будет убран из списка, то проверка клиентом пройдёт успешно). Для проверки и генерации новой цепочки доверия можно использовать сервис whatsmychaincert.com. Компания Sectigo также предоставила альтернативный перекрёстно подписанный промежуточный сертификат "AAA Certificate Services", который будет действовать до 2028 года и позволит сохранить совместимость со старыми версиями ОС.

Дополнение: Проблема также проявляется в LibreSSL.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Let's Encrypt занял 36% рынка удостоверяющих центров
  3. OpenNews: Перевод мировых атомных часов на одну секунду привёл к массовому зависанию серверных приложений
  4. OpenNews: Ожидается отзыв всех остальных сертификатов Trustico из-за полной компрометации сервера
  5. OpenNews: Уязвимость в удостоверяющем центре Comodo позволила получить сертификат для чужого домена
  6. OpenNews: Все дополнения к Firefox отключены из-за истечения срока сертификата Mozilla
Лицензия: CC-BY
Тип: Интересно / К сведению
Короткая ссылка: https://opennet.ru/53061-cert
Ключевые слова: cert, openssl, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (129) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, JL2001 (ok), 10:55, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +24 +/
    тот самый залетевший дятел, что разрушил цивилизацию?
     
     
  • 2.4, Аноним (4), 11:13, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Это скорее "кроилово ведет к попадалову". Да, это я про тебя, GnuTLS.
     
     
  • 3.5, Аноним (5), 11:15, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это скорее "кроилово ведет к попадалову". Да, это я про тебя, GnuTLS.

    Автовымарывание вырезало мой первоначальный коммент. Ну да ладно.

    гнутлс это часть проблем. Сколько народа ещё попало с сидением на старых версиях опенссл и древнем ПО?

     
     
  • 4.37, Аноним (-), 13:45, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В gnutls багов, на минуточку, в разы меньше openssl. И пресловутый heartbleed на нем не работал, насколько я помню, будучи openssl'ной "фичой".
     
     
  • 5.45, Аноним (45), 14:58, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет ошибок там, где их не ищут.
     
     
  • 6.47, Аноним (-), 15:33, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А там есть ошибки - просто меньше. Разработчики openssl так по жизни известны тем что пишут код левой пяткой.
     
     
  • 7.50, Аноним (45), 15:42, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А там есть ошибки - просто меньше. Разработчики openssl так по жизни
    > известны тем что пишут код левой пяткой.

    Чем популярней проект, тем больше людей заинтересованы в регулярном его аудите. И openssl сегодня фактически монополист.

     
     
  • 8.72, Аноним (72), 20:51, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Своими действиями они способствовали основательному изменению этого статуса И, ... текст свёрнут, показать
     
  • 4.41, Аноним (41), 14:31, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    GnuTLS это не древное ПО
     
     
  • 5.93, Аноним (93), 06:41, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    GnuTLS это ПО с древними багами.

    Про проблему им репортили еще в 2014 году, однако патч вышел только когда жареный петух клюнул (часов 10 назад).

     
  • 3.14, Аноним (14), 12:35, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Это скорее "кроилово ведет к попадалову". Да, это я про тебя, GnuTLS.

    Это явно не про него а про PKI и какие там еще циклические, б-ь, графы, в доверии. Всего четыре посредована в иерархии? О...еть, KILL IT WITH FIRE!!!

     
  • 2.7, Аноним (7), 11:42, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Что-то в последнее время дятлов становится всё больше и больше...
     
     
     
     
    Часть нити удалена модератором

  • 5.59, пох. (?), 16:38, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    openssl ssleay разрабатывал человек, которого интересовала не секьюрить, а кое... большой текст свёрнут, показать
     
     
  • 6.75, Аноним (-), 21:02, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так там и протокол под стать Половина openssl овских дыр являются практически н... большой текст свёрнут, показать
     
     
  • 7.85, пох. (?), 21:31, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    протокол был без нужды переусложнен, да Но автор ssleay и не задавался целью ег... большой текст свёрнут, показать
     
     
  • 8.107, Аноним (107), 15:41, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не отменяет кучи дурных атак на сам протокол, вплоть до того что атакующий мог у... большой текст свёрнут, показать
     
  • 3.38, имя_ (?), 14:06, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просто грешки прошлого всплывают все чаще наружу.
     
  • 3.43, Аноним (41), 14:34, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мир всё больше зависит от ПО
     
     
  • 4.48, Аноним (-), 15:34, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Без ПО сейчас у поезда колеса крутиться не будут. И это не шутка.
     
     
  • 5.62, НяшМяш (ok), 18:33, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Настало время расконсервировать паровозы?
     
     
  • 6.64, Аноним (64), 18:43, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Бесполезно. Под них инфраструктуры уже нет.
     
     
  • 7.65, НяшМяш (ok), 18:54, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вместо угля можно ту же соляру тепловозную в топке жечь. Вот с водой может быть проблема, но она вроде решаема.

    Чтобы не надо было человеков утомлять и кучи ручек крутить, можно прикрутить управление компьютерное. Wait, OH SHI~

     
     
  • 8.73, Аноним (-), 20:57, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И как, много народа поедет по цене авиабилетов ... текст свёрнут, показать
     
     
  • 9.86, пох. (?), 21:55, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    надо просто поднять цены на авиабилеты Кстати, уже обещают что они подорожают к... текст свёрнут, показать
     
     
  • 10.108, Аноним (108), 15:50, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А следующим шагом логично перейти на доллары в качестве топлива Заодно и вестер... текст свёрнут, показать
     
  • 7.76, Аноним (76), 21:04, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Чтобы не надо было человеков утомлять и кучи ручек крутить, можно прикрутить управление компьютерное. Wait, OH SHI~

    Ну это уже снова про ПО, от которого выше хотели избавится.

     
  • 5.79, Аноним (76), 21:07, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У РЖД сейчас есть только одна модель локомотивов с частотными приводами. А то всё ещё выпрямители и комбинирование соединения коллекторных движков постоянного тока.
     
     
  • 6.109, Аноним (108), 15:58, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > У РЖД сейчас есть только одна модель локомотивов с частотными приводами.

    Поэтому сапсана и делает в результате сименс. А упыри с постоянным током идут обтачивать коллектор, под факи в спину от пассажиров за дерганую езду с testimonials "везут как дрова".

     
  • 6.134, alexrayne (?), 09:13, 05/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    коллектор с постоянным током - это сильно и надежно. частотники - это дань моде. с электроникой на порядки сложнее и вероятностью отказа, какой они выигрыш дадут?
     
  • 6.137, Voldemaar (ok), 08:44, 18/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Есть Иволга!
     
  • 3.130, Аноним (130), 00:34, 03/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Такова их природа.
     

  • 1.6, Аноним (45), 11:16, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    С одной стороны не стоит так хейтить gnutls, потому что с ним всё достаточно очевидно. С другой стороны его тащат в левые (не гну) проекты поехавшие хейтеры openssl, и лишний раз указать тем на их место не повредит.
     
     
  • 2.46, annon (?), 15:27, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Может это всё-таки из-за того, что OpenSSL всё никак не перейдёт на более совместимую лицензию (OpenSSL 3.0, который обещает новую лицензию, никак не разродится)?
     
     
  • 3.67, YetAnotherOnanym (ok), 19:10, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И чем нынешняя лицензия OpenSSL мешает интегрировать его в хейтерские проекты?
     

  • 1.8, Аноним (8), 11:44, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Ошибка 2000, к которой мы оказались не готовы
     
     
  • 2.80, Аноним (76), 21:09, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Ошибка 2000, к которой мы оказались не готовы

    Ошибка же, а не уязвимость.

     

  • 1.9, Аноним (9), 12:05, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Виновны сидят в Sectigo Comodo Так надо было ZOG Нет чтобы серт вовремя заме... большой текст свёрнут, показать
     
     
  • 2.10, DerRoteBaron (ok), 12:14, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    То есть что GnuTLS плевать хотел на RFC, проблема не GnuTLS?
     
     
  • 3.16, Аноним (16), 12:38, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А то что такую #$%анину вообще в RFC пишут, это интересно чьи проблемы?
     
     
  • 4.131, Аноним 80_уровня (ok), 01:17, 03/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Того, кто вовремя не предоставил свои C на этот R, вестимо.
     
  • 3.20, Аноним (9), 12:45, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    GnuTLS наплевать что удостоверяющий центр Sectigo (Comodo) забыл выпустить вовремя новый серт в замен истекающего.
     
     
  • 4.87, пох. (?), 21:57, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > GnuTLS наплевать что удостоверяющий центр Sectigo (Comodo) забыл выпустить вовремя новый
    > серт в замен истекающего.

    он не забыл, его сертификат вовсе не истек и все еще подписан валидным CA. Если бы gnutlsные мартышки соблюдали стандарты - все бы работало и дальше. Но они не могут - читать не умеют, только кодить.

    Ты именно такая типовая мартышка - даже не поняла, что, собственно, вызвало проблему - но виновата проклятая комода, конечно же.

     
     
  • 5.112, Аноним (112), 16:45, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У меня ко многим RFC по поводу https есть возражения.

    Sectigo (Comodo) должен был выпустить за год до истечения строка действия серта новый сертификат.

    GnuTLS не виновен.

    Дебу и убунте стоит отказаться от услуг удостоверяющего центра Sectigo (Comodo) и выпустить новые серты в нормальном удостоверяющим центре. После этого обновления заработают. А пользователям советую руками серты не добавлять.

    https://www.linux.org.ru/forum/admin/15104732?cid=15113619
    Вывод этого скрипта должен быть идентичен на всех компах подключенных к интернету. Сверте корневые сертификаты установленные у ваших системах.

     
     
  • 6.118, пох. (?), 22:18, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня ко многим RFC по поводу https есть возражения.

    Какое счастье что ты никто и звать тебя - никак.

    > Sectigo (Comodo) должен был выпустить за год до истечения строка действия серта новый сертификат.

    его сертификат НЕ ИСТЕК. Что тебе, тупице, неясно?

     
     
  • 7.133, Аноним (133), 18:50, 03/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    1:

    30 мая 2020 года, истёк 20-летний срок действия корневого сертификата AddTrust.

    Чтобы избежать проблем 30 мая 2019 года удостоверяющий центр  Sectigo (Comodo) должен был выпустить новый корневой сертификат в замен устаревающего. За год новый сертификат распространился бы менеджерами пакетов на компьютеры пользователей и глобальных проблем не было бы.

    2:

    Программистам не ставят задачу проверки и верификации RFC и не выделяют на это времени.

    Не всегда для обеспечения безопасности надо следовать RFC в них есть закладки, особенно тех что касается https.

    3:

    Вот за оскорбление я вам не покажу проблемных RFC, нанимайте людей и исследуйте сами.

     
  • 5.125, Аноним (-), 13:10, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты именно такая типовая мартышка - даже не поняла, что, собственно, вызвало
    > проблему - но виновата проклятая комода, конечно же.

    Зато ты, пох, как НеТиповая мартышка можешь наконец начать уже замечать в чем собственно проблема с всем этим крапом :). Если ты думаешь что он такой один... хаха, проинвертируй этот взгляд, все ровно наоборот. Белые вороны - это те кто вообще хоть немного понимает как этот крап работает. Потому что все мутно и неочевидно, с циклическими, блин, графами в доверии.

     
     
  • 6.129, пох. (?), 13:53, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Если ты думаешь что он такой один...

    да хоть все четыре миллиарда.

    Просто их составляющим лучше убрать руки подальше от софта вообще, не только крипто (а то они софт управления автомобилем так же напишут - прочитав документацию и ПДД как попало, запомнив только те абзацы что понравились и что удобно было реализовать).

    Но от gnutls вообще-то сложно было ждать наличия разума и умения читать что-то кроме прокламаций.

     
  • 2.11, Лол (?), 12:15, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ку ку как comodo обновит миллионы неизвестных девайсов с рандомными операционками? Или вы думаете сертификаты это исполняемые файлы и сами себя обновляют
     
     
  • 3.18, Аноним (9), 12:41, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Обновление сертов дело пакетного менеджера используемого на девайсе дистрибутива.

    Дело Комодо - вовремя выпустить серт.

    Дело мозилы - добавить новый серт

    Дело разрабов дистра - обновить пакет с чертами мозилы

    Дело админа - обновить используемую на девайсе ось.

     
     
  • 4.19, Аноним (9), 12:42, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    s/чертами/сертами/ вражеский спелчекер похерил.
     
  • 4.24, Аноним (9), 13:07, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Учитывая длительный путь серта с офиса удостоверяющего центра Sectigo (Comodo) на девайсе пользователя, им стоило выпускать свой новый серт за год или хотя бы за полгода до истечения строка действия старого.
     
  • 4.49, Аноним (-), 15:36, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ...а когда вся эта жуткая этажерка костылей наконец заваливается, половина глобуса встает раком но все делают козью морду - что вы, в таком демарше никто не виноват.
     
     
  • 5.61, Аноним (61), 17:23, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Этажерка посредников это конечно плохо.

    Зато виновного определяем сразу, в даном случае виновен: удостоверяющий центр Sectigo (Comodo), который вовремя не выпустил новый сертификат в замен устаревшего.

     
     
  • 6.77, Аноним (-), 21:05, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Зато виновного определяем сразу,

    Ага, еще не успели остатки юзерей перестать дергать серваки в надежде что они отомрут... :)

    > в даном случае виновен: удостоверяющий центр Sectigo (Comodo),
    > который вовремя не выпустил новый сертификат в замен устаревшего.

    А если бы они даже и выпустили его - то чего? Он же не телепортируется всем юзерям путем черной магии...

     
     
  • 7.113, Аноним (112), 16:51, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Новые корневые серты стоит выпускать хотя бы за год до истечения строка действия старого. Процесс телепортации серта к юзерам длительный и иногда требует действительного старого сертификата. Установка прошлого системного времени костыль.
     

  • 1.12, б.б. (?), 12:21, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    из-за срока действия ключа подписи, сейчас Debian 5, 6, про 7 не помню точно, превратились в тыкву :( их не поставишь по сети, не воспользуешься репозиториями :(
     
     
  • 2.17, Аноним (16), 12:39, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что, традиционный способ надувания шаровари уже не катит? Неужто часы назад перевести не срабатывает? Назад, в будущее! :)
     
     
  • 3.26, бедный буратино (ok), 13:07, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    работает, конечно. но не хочется жить в прошлом :)
     
     
  • 4.35, Аноним (-), 13:40, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну так установил - и назад, в будущее!
     
  • 3.51, Аноним (51), 15:45, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тогда куча других сертификатов слетит
     
  • 3.124, Аноним (124), 12:35, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не сработает, кстати. При TLS-соединении сравнивается время на клиенте с сервере и если разница слишком большая (порядка нескольких часов) - соединение прерывается.
     
     
  • 4.126, Аноним (-), 13:11, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Не сработает, кстати. При TLS-соединении сравнивается время на клиенте с сервере и
    > если разница слишком большая (порядка нескольких часов) - соединение прерывается.

    А где и зачем дебиану при установке "TLS соединения" нужны? Я так понимаю что у него проблема с ключами от репо.

     
  • 2.92, FixingGunsInAir (ok), 05:45, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Добро пожаловать в мир легаси.
     

  • 1.13, anonim1 (?), 12:21, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    все очень плохо. Ничего не помогает, надеюсь что кто-то до понедельника найдет рабочее решение.
     
     
  • 2.34, rvs2016 (ok), 13:26, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > надеюсь что кто-то до понедельника
    > найдет рабочее решение

    Почему именно до понедельника?
    Многие нужные https-сайты уже недели 3 недоступны программам curl/wget, lynx/elinks.

     
     
  • 3.54, Аноним (45), 15:54, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Многие нужные https-сайты уже недели 3 недоступны программам curl/wget, lynx/elinks.

    Можно пример? А то у меня отвалился curl некоторое время назад, но я отключил adns (c-ares) и всё чюдесным образом починилось.

     
     
  • 4.132, Анонои (?), 13:31, 03/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    если 3 недели назад, то это какието другие проблемы. Обсуждаемый сертификат сдох 30 мая в 13:48 по Москве и до этого момента он проблем не доставлял

            Validity
                Not Before: May 30 10:48:38 2000 GMT
                Not After : May 30 10:48:38 2020 GMT

     
  • 3.60, Anonymoustus (ok), 16:43, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для wget есть ключ --no-check-certificate.
     
     
  • 4.78, Аноним (-), 21:07, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Для wget есть ключ --no-check-certificate.

    Только потом не надо жаловаться что Васян налил майнер и стырил все бабки.

     
     
  • 5.84, Anonymoustus (ok), 21:27, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Для wget есть ключ --no-check-certificate.
    > Только потом не надо жаловаться что Васян налил майнер и стырил все
    > бабки.

    Ты не знаешь, анон, что такое wget? Просвещайся:

    https://www.gnu.org/software/wget/manual/wget.html

     
  • 5.88, rvs2016 (ok), 00:30, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Только потом не надо жаловаться что
    > Васян налил майнер и стырил все бабки

    Проблема не в том, что кто-то стырил бабки, ибо в выкачивании многих страниц никих денег нет, а в том, что --no-check-certificate теперь перестал помогать.

     

  • 1.21, rvs2016 (ok), 12:48, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Нет худа без добра. Хоть одна радость веб-мастерам:

    > Из браузеров проблема затрагивает
    > Epiphany, в котором перестали
    > загружаться списки блокировки рекламы

    Правда, радость небольшая - браузер-то не сильно распространённый. Ну да ладно. И то дело. Мелочь, а приятно! :-)

     
  • 1.22, rvs2016 (ok), 12:51, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Программы на языке Go проблеме
    > не подвержены, так как в Go
    > предлагается собственная
    > реализация TLS

    А есть ли написанные на языке Go аналоги программ wget, curl?
    А то wget да curl перестали получать страницы с некоторых https-сайтов. Пляски с бубном вокруг их обновлений да обновлений ca_root_nss и даже ручные укладывания каких-то там сертификатов куда-то (точные каталоги не помню уж) к их оздровлению не приводят.

     
     
  • 2.27, Анонимчик (?), 13:12, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://www.tecmint.com/kurly-alternative-to-linux-curl-command/amp/
     
  • 2.28, Аноним (45), 13:14, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Curl может быть собран с любым аналогом. Хоть nss. Но зачем, если есть openssl? Ты думаешь, что угошная реализация чем-то лучше?
     

  • 1.23, аноним еще один (?), 13:02, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Http устарел, переходите на https говорили они. О дивный новый мир.
    А нельзя было выдать сразу бессрочный сертификат или на 1000 лет :)
     
     
  • 2.29, Dzen Python (ok), 13:17, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А таки да, интересно, сколько таких бомб еще всплывет
     
  • 2.31, пох. (?), 13:24, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Нельзя - огрызок изо всех сил пытается вообще пропихнуть в картель сслщиков запрет на сертификаты сроком действия больше года. Даже корпоративные.
    У него пока не получилось (то есть даже гугль с ms сказали "да ну нах") - но он уже воткнул такую проверку себе во впихоны - не вышло по правилам, впихнем через топ-топов у которых отвалится ваш сайт. Не будут же ж они понтовую мобилу менять ради него.

    И тем более ни в коем случае нельзя предоставить пользователю решать самому. Сегодня он сам решает, какому сертификату доверять, а завтра что - идет к Белому Дому с коктейлем молотова?!

     
     
  • 3.44, zanswer (?), 14:39, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Apple для всех актуальных систем установила следующие правила, в числе прочего ограничение на срок действия сертификата, не более 825 дней. Коммерческие сертификаты более чем на два года я и так не видел, само-подписные может быть, для корневых сертификатов данное требование не актуально само-собой.

    https://support.apple.com/en-us/HT210176

     
  • 3.110, InuYasha (?), 16:02, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому я презираю Let's Encripple и хомячков, которые на него дёргают.
    Завтра Большой Жрат распорядится невыдать сертификат - и через день сайтик протухнет. А то вот ещё - 10 лет ждать!
     
     
  • 4.119, пох. (?), 22:23, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому я презираю Let's Encripple и хомячков, которые на него дёргают.
    > Завтра Большой Жрат распорядится невыдать сертификат - и через день сайтик протухнет.

    это он и раньше мог делать. Ну, до истребления crl'ов и отключенного по умолчанию ocsp.
    А вот выписать себе новый, так чтоб никто вообще этого не смог заметить - это он может теперь, когда certpatrol, pkp и любые другие технологии, основанные на доверии сертификатам, а не левым людям, мамой клянущимся что валидный - окончательно уничтожены.

    Зато бебебезопастно!

     
  • 4.120, Аноним (120), 22:26, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Через день ничего не протухнет. А 3 недель вполне достаточно, чтобы в случае проблем (у вас же настроен мониторинг сертификатов?) вовремя среагировать и переключиться на что-то еще.
     
     
  • 5.127, Аноним (-), 13:13, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > (у вас же настроен мониторинг сертификатов?)

    А ты из дома с миноискателем, надеюсь, выходишь? На случай если благодарный сосед мину для тебя закопал.

     
  • 2.36, Аноним (-), 13:43, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А нельзя было выдать сразу бессрочный сертификат или на 1000 лет :)

    Это чтобы им лет через эн начали подписывать все и вся, и никто типа не виноват, поскольку фирма давно ласты склеила? :)

     
     
  • 3.40, аноним еще один (?), 14:25, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть же процедура отзыва сертификата :)
     
     
  • 4.63, Арчевод (?), 18:38, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Какая такая процедура? Которая по умолчанию выключена во всех браузерах?
     
  • 3.71, пох. (?), 20:50, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    если фирма правильно склеила ласты - ее сертификат торжественно уничтожен при большом скоплении народа - никто им ничего подписать уже не сможет.

    Если фирма склеила ласты способом diginotar - ее сертификат просто будет удален всеми еще до окончания процедуры ее банкротства. Точнее, именно этот процесс и послужит ее неизбежному свершению, как это произошло со startssl.

    Идиотия, что короткоживущие сертификаты хоть от чего-то защищают - из того же источника что и уничтожение всех конкурентов очередной гуглевой марионетки.

     
     
  • 4.81, Аноним (81), 21:10, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > если фирма правильно склеила ласты - ее сертификат торжественно уничтожен при большом
    > скоплении народа - никто им ничего подписать уже не сможет.

    И хде это все регламентировано? Хочу посмотреть на что-нибудь такое. Можно начать с DigiNotar'а, чтоли.

    > Идиотия, что короткоживущие сертификаты хоть от чего-то защищают

    Де факто PKI таки та еще фикция - потому что кто попало может подписать что попало.

     
     
  • 5.83, пох. (?), 21:24, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Можно начать с DigiNotar'а, чтоли.

    он как раз неправильно склеил ласты - его сертификат превратился в тыкву, когда покойничек еще потел.

    А startssl и вовсе сдох именно от превращения вполне валидного и никуда не утекшего сертификата в тыкву - потому что не был правильно соблюден обряд его похорон.

    Поэтому даже если бы их сертификаты действовали тысячи лет - никому бы не помешали. У меня сертификат для внутренних целей тоже на сто лет выдан - но ему все равно доверяет только мой браузер.

    > Де факто PKI таки та еще фикция - потому что кто попало может подписать что попало.

    кто попало - не может. История startssl тому примером.

    Интересно, норвеги - следующие?

     
     
  • 6.114, Аноним (114), 17:16, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Там распиарено получилось - комод очень уж эпично постебся над маздайцами с их п... большой текст свёрнут, показать
     
  • 2.90, rvs2016 (ok), 00:55, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Http устарел, переходите на https говорили они. О дивный новый мир.
    > А нельзя было выдать сразу бессрочный сертификат или на 1000 лет :)

    А нельзя! Ну в смысле - можно, наверно, но бесполезно ж. Через 1000 лет сертификат всё-равно устарел бы и появилась бы уже проблема-3000.

    Вспоминается по этой теме бородатый, 20-летней давности, анекдот:

    COBOL-программист перед приближением "проблемы-2000" забодался бегать и спасать от этой проблемы всех подряд, изобрёл криокамеру, заморозил себя лет на 5 - до тех пор, пока все уже справятся с "проблемой-2000" и тогда у него не будет суеты. Но из-за сбоя программы криокамера его не разбудила через 5 лет, а разбудили его люди только через ту самую тысячу лет и из какого-то облака какой-то лик ему всё это рассказал и говорит, мол, всё у нас в обществе круто, но вот подходит "проблема-3000", у нас осталась куча программ 1000-летней давности на языке COBOL, а только в Вашем досье
    написано про то, что вы знаете - что это такое. :-)

     

  • 1.32, Аноним (32), 13:24, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    debian 10, столкнулся с тем, что стал openconnect ругаться со вчерашнего дня
    в файле /etc/ca-certificates.conf заремил строку !mozilla/AddTrust_External_Root.crt
    выполнил update-ca-certificates -f -v
    openconnect ругаться перестал
     
     
  • 2.39, rayder (ok), 14:23, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот как раз 10-я дубина у меня нормально работает.
    А вот 9-ю вчера лечил как раз этим способом через выпиливание этого серта из системы.
    полет нормальный.
     
     
  • 3.117, raynor (ok), 19:10, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Подтверждаю, на Debian 9 и форках достаточно закомментить и апнуть, как выше написано :)
     

  • 1.33, Аноним (33), 13:24, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    ^^ UPD: Нормально помогает распарсить свой .crt найти и выкинуть истёкший из цепочки, пересобрать/перезапустить
     
  • 1.42, gogo (?), 14:33, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В centos 6 нет утилиты trust, она только в центе 7.
    Наверное, проще таки удалить проблемный серт из /etc/ssl/certs/ca-bundle.crt
    Когда приедет следующее обновление пакета с этим файлом, то этот серт наверняка оттуда удалят.
     
  • 1.52, Аноним (52), 15:47, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Время от времени, в т ч сейчас, мне приходится не ради удовольствия, а для раб... большой текст свёрнут, показать
     
     
  • 2.69, YetAnotherOnanym (ok), 19:41, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты её переупрямил.
     

  • 1.53, Аноним (51), 15:51, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Подскажите примеры сломавшихся сайтов, чтоб у себя проверить.
     
     
  • 2.55, Аноним (55), 16:00, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://api.rbkgames.com/ :)
     
     
  • 3.57, Аноним (51), 16:19, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    спс
     
  • 3.70, Аноним (70), 19:50, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    на нём нету AddTrust
     
  • 3.94, Аноним (94), 08:23, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Social Club у Rockstar отвалился.
     

  • 1.58, Anonymoustus (ok), 16:21, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я ничего не удалял, только запустил команду

    [CODE]
    update-ca-certificates -f -v
    [/CODE]

    и APT вроде как снова работает нормально.

    Devuan 2.1.

     
  • 1.66, lockywolf (ok), 19:02, 31/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Нет подключения к интернету -- нет проблемы.

    А вообще, вся эта X.509 система -- какое-то адское нагромождение костылей.

    Во-первых, потому что в нём де факто нет идентификации клиента. Я знаю про всякие странные конфигурации с прокидыванием в браузер клиентского сертификата, но это редкость.

    Во-вторых, потому что вся игра с сертификатами отдана на откуп вендорам оконечных девайсов, хотя по уму сертификат должен быть ответственностью как минимум не только его. Вполне можно было бы построить систему, в которой юзверь подписывает договор с удостоверяющим центром, и ходит раз в год обновлять свои и корневые сертификаты в УЦ. Так, собственно, уже работает OpenPGP или даже странная российская "электронная подпись".

     
     
  • 2.74, пох. (?), 21:01, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Во-первых, потому что в нём де факто нет идентификации клиента.

    идентификация клиента в нем есть, учи матчасть, двоечник.
    Просто это несколько неудобно - и клиентам, и тем кто предоставляет им услугу. Потому что в большинстве случаев совершенно все равно, кому ее предоставлять, лишь бы данные кредитки совпали.

    > Вполне можно было бы построить систему, в которой юзверь подписывает договор с удостоверяющим
    > центром, и ходит раз в год обновлять свои и корневые сертификаты в УЦ.

    лично с паспортом, или можно через госуслуги? А пошлину платить раз в год, или включат в счет за электричество? (Мыло и веревку свои приносить, или там дадут?)

    Вполне возможно, что в чебурнете так и будет - заодно мазок на коровавирус заставят сдать.
    К сожалению, весь остальной мир пока пошлет с такими идеями найух. Приходится действовать постепенно.

    Вполне можно было бы построить такую систему, где доверяют - сертификатам, а не подписантам (и изначально ssl именно такой системой и был), их подпись всего лишь одна из дополнительных возможностей _разовой_ проверки _ранее_незнакомого_ тебе сертификата.

    Но, поскольку при этом не получается за всеми следить - были предприняты определенные шаги, чтобы так просто не получалось, даже в изолированных сетях.

    Вон дядя, покажи ему свой биометрический паспорт, сделай селфи со снилсом в зубах, он поставит (электронный, а как же) штампик.

    Бараны радностно блея бегут в стойло - зато бебебебезопастно!

     
     
  • 3.91, lockywolf (ok), 05:42, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > идентификация клиента в нем есть, учи матчасть, двоечник.

    Я и написал "де факто". Сам логинюсь на cacеrt'овский сайт через сертификат. Но так мало кто делает.

    >  Приходится действовать постепенно.

    Отставить паранойю. OpenPGP-Web-Of-Trust так уже много лет работает. Ходят погромисты друг к другу в гости, и делают keysigning party. Наоборот, это гибче даже получается.

    Ну а для тех, кто не хочет keysigning party, должно быть можно в Связном заплатить пошлину.

    > Вполне можно было бы построить такую систему, где доверяют - сертификатам, а
    > не подписантам (и изначально ssl именно такой системой и был)

    Так и сейчас доверяют сертификатам -- сертификатам УЦ. Сайтов кругом миллион, и сертификаты сайтов хотелось бы менять каждую сессию, ибо вдруг чего. Проблема не в самой идее УЦ, а в том, что какой-то абстрактный дядя за тебя решает, какому УЦ ты доверяешь. Мозилла и Гугл -- это ещё хотя бы люди, на которых можно ругаться в соцсетях. А производитель телефона -- вообще никто и звать его никак. Ходить раз в год и выбирать УЦ, которому доверяешь -- это как раз больше свободы юзеру, а не меньше.

    > Вон дядя, покажи ему свой биометрический паспорт, сделай селфи со снилсом в
    > зубах, он поставит (электронный, а как же) штампик.
    > Бараны радностно блея бегут в стойло - зато бебебебезопастно!

    Государство скорее закроет интернет нахрен, чем откажется от возможности следить за людьми. Надо быть реалистичными, и саботировать слежку так, как это работает, а не так, как этого хотелось бы утопистам от свободы информации. Надо напирать на те аргументы, которые люди слышат. Слышат про безопасность -- надо говорить от безопасности. В частности, тот факт, что в компах стоят протухшие на 20 лет сертификаты -- это _очень_ небезопасно.

     
     
  • 4.95, пох. (?), 09:22, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Я и написал "де факто".

    ну вот де-факто - есть.
    А предъявлять паспорт и снилс входя в магазин за хлебушком - желающих нет.

    > Отставить паранойю. OpenPGP-Web-Of-Trust так уже много лет работает.

    там совсем другой подход - никаких "trusted ca". По этой причине, кстати, и не работает. Гладко было на бумаге.

    > Так и сейчас доверяют сертификатам -- сертификатам УЦ.

    сейчас доверяют подписи этим сертификатом на сертификате васяна. Причем принята масса специальных мер, чтобы просто сертификату васяна ты доверять не мог. Включая и его одноразовость.

    > Государство скорее закроет интернет нахрен, чем откажется от возможности следить за людьми.

    гугл и мурзила - скорее государство в государстве.
    Ничего личного, just a business.

    У меня в помойке два приглашения на собеседование. Один от ntechlab, второй от хуавэя. Причем про второй я спросил - там не 60 тыщ и действующие сертификаты ccie и jncie, там вполне нормальные требования и зарплата выше средней по отрасли - при всей жадности плохой дороги, за это она готова платить.

    Вполне коммерческие предприятия. С умненькими мальчиками там работающими.

    > В частности, тот факт, что в компах стоят протухшие на 20 лет сертификаты -- это _очень_
    > небезопасно.

    это совершенно безопасно. Ты замок в двери меняешь каждые пол-года просто на всякий случай?
    Или все же - только когда и если потерял ключ?

    А ключи от self-signed сертификатов CA потерять гораздо сложнее чем ключи от квартиры - они при правильном обращении (и это _проверяется_ прежде чем твой сертификат добавят мурзогугли - впрочем, последние двадцать лет они только свою марионетку добавили, а проверка доверена каким-то комитетам, не умевшим правильно настроить веб-сайт) не то что из дома не выносятся, а вообще не используются никогда. Используется второй или даже третий intermediate. Ключ от основного нужен только если их понадобилось перевыпустить. Ну или подписать вот ключ другого CA. Случается примерно раз в 20 лет.

     
     
  • 5.96, lockywolf (ok), 09:51, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это де юре , а не де факто Типа, пользуются полтора гика Да серьёзно что ли ... большой текст свёрнут, показать
     
     
  • 6.98, Anonymoustus (ok), 10:17, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > За двадцать лет хороший человек легко превращается в
    > мудака, а мудак в хорошего человека.

    Примеры чудесных превращений — в студию!

     
     
  • 7.99, Lockywolf (ok), 10:27, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> За двадцать лет хороший человек легко превращается в
    >> мудака, а мудак в хорошего человека.
    > Примеры чудесных превращений — в студию!

    Готов отказаться от второй части заявления. (Хотя мне кажется, видел такое.)

     
     
  • 8.115, Анони (?), 17:19, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это не про твоего собеседника Хотя, возможно, он таким был с самого начала ... текст свёрнут, показать
     
  • 6.103, пох. (?), 11:47, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто тебе мешает-то? Добавь васянский сертификат в доверенные, и пользуйся.

    инфа стопроцентов, или ты один раз попробовал?

    > Самоподписанный SSL работает, пусть и с ворнингом.

    только на васян-хосте с web0.1
    На остальных уже не работает.

    > Только как ты узнаешь, что это васян, а не MITM.

    проверю сертификат по другим каналам.
    Или, что гораздо более вероятно, предположу что Организация конечно всесильна и вездесуща, но подсунуть один и тот же в кафешке в Хайдерабаде и в офисе в Стамбуле даже ей затруднительно. И если сертификат один и тот же уже который год - вероятнее всего он настоящий, и митм организован путем его кражи. А если его можно спереть - то это можно делать и раз в день.

    > Ни хрена себе безопасно! Я до сих пор по половине офисов старых работ могу пройти как по паркету,
    > потому что заблаговременно делал копии ключей. Гавно твоя аналогия.

    Нет, гавно твои офисы и система безопасности в них.
    И вот по этой причине проверки кандидатов в trusted ca строже чем даже pci-dss, которая напрочь исключает возможность "сделать копии ключей" незаметно для окружающих.

    Но ты замок на двери все же меняй раз в неделю - а то твой ключ тоже кто-то успел скопировать. Что помешает ему обналичить результат немедленно, а не откладывать на неделю - учоные спорят.

    > Не надо ничего терять. За двадцать лет хороший человек легко превращается в мудака, а мудак в
    > хорошего человека.

    не превращается. И перевыпуск ключа раз в неделю от этого тоже ничем не поможет - вот он и перевыпустит, и десять копий налево в том числе.  Каждую неделю новых.
    А вот отследить теперь - невозможно.

    В отличие от простого и банального доверия - ключам, а не подписям на них.

     
     
  • 7.104, lockywolf (ok), 12:29, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Имеется в виду HSTS что ли Так это выбор сервера, включать его или нет Все воп... большой текст свёрнут, показать
     
     
  • 8.105, пох. (?), 13:50, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ты не в теме - совсем certpatrol был скачан многие сотни тысяч раз и что им ме... текст свёрнут, показать
     
     
  • 9.106, Lockywolf (ok), 14:17, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так расскажи мне Иначе зачем вообще было ввязываться в трэд Мне интересно, ... текст свёрнут, показать
     
  • 2.82, Аноним (81), 21:11, 31/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нет подключения к интернету -- нет проблемы.

    А если еще компьютер не включать... :)

    > А вообще, вся эта X.509 система -- какое-то адское нагромождение костылей.

    Оно не может быть секурно - by design.

     

  • 1.97, Аноним (97), 10:05, 01/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ребят не в курсе как на alpine linux 3.7 это пофиксить, серт закомментировал, но обновить не могу (

    bash-4.4# update-ca-certificates -f -v
    WARNING: ca-certificates.crt does not contain exactly one certificate or CRL: skipping

     
     
  • 2.116, Аноним (116), 17:25, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спокойно, качаем Windows 10, устанавливаем и пользуемся нормальной системой
     
     
  • 3.128, Аноним (-), 13:15, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Спокойно, качаем Windows 10, устанавливаем и пользуемся нормальной системой

    Поимев еще рекламу в тривиальных играх и кейлоггера в комплекте. Майкрософт, вы лохи - майнер встроить забыли!

     

  • 1.100, Аноним (100), 10:34, 01/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Решение. Скриптом костыль для клиента.
    sed 's/mozilla\/AddTrust_External_Root.crt//g' -i /etc/ca-certificates.conf
    ls -l /etc/ssl/certs/ | grep AddTrust_External | awk '{print $9}' | while read bad_cert; do rm -f /etc/ssl/certs/$bad_cert; done
    update-ca-certificates -f -v
     
  • 1.101, Аноним (101), 11:03, 01/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    По нормальному это демон системы должен отстреливать или сыпать в логи информацию. На деле продолжаем пользоваться просроченным сертификатом
     
     
  • 2.121, пох. (?), 22:28, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > По нормальному это демон системы должен отстреливать или сыпать в логи информацию.

    https://www.opennet.ru/openforum/vsluhforumID3/120795.html#116
    и да, в б-жественной десяточке есть такой, хм, демон.
    А в юниксе предполагалось что есть админ, но это давно было. Теперь он обычный пользователь, которому нельзя доверить ничего самому решать.
    > На деле продолжаем пользоваться просроченным сертификатом

    не продолжаем, ничего ж не работает.

     
     
  • 3.122, й (?), 23:54, 01/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    systemd-ca нужен
     
     
  • 4.123, пох. (?), 00:26, 02/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    запилишь фичреквест?
    Я уверен, это не закроют с notabug - нужным и полезным предложениям там всегда рады.

    Надо только придумать, как сделать его неотключаемым ("как в винде", разумеется)

     

  • 1.102, pontiy_pilat1 (ok), 11:42, 01/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Однострочник для ubuntu:
    sed -i 's/mozilla\/AddTrust_External_Root.crt/!mozilla\/AddTrust_External_Root.crt/' /etc/ca-certificates.conf && update-ca-certificates
     
  • 1.111, InuYasha (?), 16:36, 01/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Диаграмма с красными подчёркиваниями доставляет )

    PS: спасибо что напомнили обновить сертификаты )

     
  • 1.135, Девочка (?), 19:02, 06/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня из-за этого долбанного сертификата Figma не работает. Как решить проблему с сертификатом на windows 10?
     
  • 1.136, Аноним (32), 15:14, 08/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в debiane 10 новый пакет прилетел

    Start-Date: 2020-06-08  15:06:09
    Upgrade: ca-certificates:amd64 (20190110, 20200601~deb10u1)
    End-Date: 2020-06-08  15:06:17

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру