N
Все цепочки не протухли
Size: a a a
2021 September 30
N
Но не работает на андроиде все равно
N
Сегодня, 30 сентября 2021 года в 17:00 GMT (это в 20:00 Мск) будет проведена операция по замене корневого сертификата Let's Encrypt.
Вот тут большая статья-объяснялка на английском: https://letsencrypt.org/ru/docs/dst-root-ca-x3-expiration-september-2021/
А Let’s Encrypt (мало ли, кто-то и не знает) — это бесплатный, автоматизированный и открытый Центр Сертификации, созданный на благо всего общества организацией Internet Security Research Group (ISRG). В общем, он выдает _бесплатные_ сертификаты для сайтов, чтоб они работали по протоколу HTTPS
Современные браузеры и устройства доверяют сертификату Let's Encrypt, установленному на вашем веб-сайте, потому что они включают ISRG Root X1 в свой список корневых сертификатов.
Что происходит: сертификаты настраивают таким образом, чтоб они не работали вечно. Ну, мало ли — все меняется и было бы глупо, чтоб довольно критическая штука, как шифрование, работало годами без изменений. Может, человек, занимавшийся крипотграфией на вашем веб-проекте уйдет к конкурентам... а может, злобные хацкеры поставили на брутфорс ваш серт и ждут, когда цифры сойдутся. И безопасники придумают еще с десяток более важных причин. Короч, время действия сертификата небесконечно.
И вот пришел момент, когда корневой сертификат у , которым подписывают уже сертификаты сайтов, тоже немножко протух.
Схема (последняя) взаимосвязей сертификатов довольно головолмна: https://letsencrypt.org/certificates/
Так вот именно сегодня ISRG Root X1 должен быть заменен на "свежий". И это произойдет сегодня.
Скорее всего, с вероятностью 0,99, ничего страшного не произойдет. Эту ситуацию моделировали, когда проектировали систему. Но в реальной жизни "в боевых условиях" пока такой рокировки не случалось. Потому есть небольшая, но вероятность, что что-то сломается.
Потому, с 20:00 до 20:15 Мск я б немного понаблюдал что вообще в мире происходит.
Вот тут большая статья-объяснялка на английском: https://letsencrypt.org/ru/docs/dst-root-ca-x3-expiration-september-2021/
А Let’s Encrypt (мало ли, кто-то и не знает) — это бесплатный, автоматизированный и открытый Центр Сертификации, созданный на благо всего общества организацией Internet Security Research Group (ISRG). В общем, он выдает _бесплатные_ сертификаты для сайтов, чтоб они работали по протоколу HTTPS
Современные браузеры и устройства доверяют сертификату Let's Encrypt, установленному на вашем веб-сайте, потому что они включают ISRG Root X1 в свой список корневых сертификатов.
Что происходит: сертификаты настраивают таким образом, чтоб они не работали вечно. Ну, мало ли — все меняется и было бы глупо, чтоб довольно критическая штука, как шифрование, работало годами без изменений. Может, человек, занимавшийся крипотграфией на вашем веб-проекте уйдет к конкурентам... а может, злобные хацкеры поставили на брутфорс ваш серт и ждут, когда цифры сойдутся. И безопасники придумают еще с десяток более важных причин. Короч, время действия сертификата небесконечно.
И вот пришел момент, когда корневой сертификат у , которым подписывают уже сертификаты сайтов, тоже немножко протух.
Схема (последняя) взаимосвязей сертификатов довольно головолмна: https://letsencrypt.org/certificates/
Так вот именно сегодня ISRG Root X1 должен быть заменен на "свежий". И это произойдет сегодня.
Скорее всего, с вероятностью 0,99, ничего страшного не произойдет. Эту ситуацию моделировали, когда проектировали систему. Но в реальной жизни "в боевых условиях" пока такой рокировки не случалось. Потому есть небольшая, но вероятность, что что-то сломается.
Потому, с 20:00 до 20:15 Мск я б немного понаблюдал что вообще в мире происходит.
KZ
чет сломалось все раньше, мне с утра уже писали
N
У меня в 17:05 по мск сломалось
RP
Вот старый:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
40:01:77:21:37:d4:e9:42:b8:ee:76:aa:3c:64:0a:b7
Signature Algorithm: sha256WithRSAEncryption
Issuer: O = Digital Signature Trust Co., CN = DST Root CA X3
Validity
Not Before: Jan 20 19:14:03 2021 GMT
Not After : Sep 30 18:14:03 2024 GMT
Subject: C = US, O = Internet Security Research Group, CN = ISRG Root X1
Вот новый:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
82:10:cf:b0:d2:40:e3:59:44:63:e0:bb:63:82:8b:00
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = US, O = Internet Security Research Group, CN = ISRG Root X1
Validity
Not Before: Jun 4 11:04:38 2015 GMT
Not After : Jun 4 11:04:38 2035 GMT
Subject: C = US, O = Internet Security Research Group, CN = ISRG Root X1NM
Софт часто смотрит только на дату или забивает болт на временные зоны
RP
Сами сертификаты идентичную создают ЭЦП, потому, что используют одну и ту же пару public/private keys.
NM
Все же лучше знают как надо, чем авторы openssl и tzdata
KZ
подстава значит
просто так даж не поймешь че случилось, цепочку до уже новую показывает
просто так даж не поймешь че случилось, цепочку до уже новую показывает
KZ
яж тока конечный серт добавлял
а не всю цепочку
а не всю цепочку
RP
Тогда нужно смотреть TLS handshake.
Я делал тесты несколько дней назад, с целью моделирования данной ситуации.
Я делал тесты несколько дней назад, с целью моделирования данной ситуации.
KZ
мне почему то в голову приходит варешарк 😂
RP
Он самый и нужен, и TLS master key для сессии.
KZ
и че тесты показали?
RP
В моём случае, что все приложения работают, как положено, даже если получают в TLS handshake не валидный ISRG Root X1 сертификат.
Поскольку в системе есть доверенный ISRG Root X1 сертификат с key id равным таковому, что создал ЭЦП для R3 сертификата.
Поскольку в системе есть доверенный ISRG Root X1 сертификат с key id равным таковому, что создал ЭЦП для R3 сертификата.
X509v3 Subject Key Identifier:
79:B4:59:E6:7B:B6:E5:E4:01:73:80:08:88:C8:1A:58:F6:E9:9B:6E
Он одинаков у обоих сертификатов ISRG Root X1Дz
Долбанный ФСС задолбал отзывать свои долбанные сертификата до окончания долбанного срока действия. И ладно отозвал, так ведь новые автоматом не ставятся.
N
И ниче не работает)