crl.pem, updater

Od Michal Vaner (>>)

Dne 2016-03-18 11:27 Hlasů 1

Dobrý den

Problém můžu potvrdit a už se tu z něj v kanceláři pár hodin velmi radujeme. Časem podám nějaké technické detaily, zatím dvě rady (všem): Vyčkejte, připravujeme opravu. A router, pokud možno, nerestartujte, neodpojujte od proudu a nedělejte factory reset. Tyto věci nepomohou, naopak opravu to ztíží. Oprava by měla být k dispozici během dneška.

Od Michal Vaner (>>)

Dne 2016-03-18 12:33

Tak tedy, ty slíbené detaily.

Při otvírání SSL/TLS spojení je třeba kontrolovat certifikát protistrany. Ten jednak musí být podepsán důvěryhodnou autoritou, ale také nesmí být svou autoritou označený za neplatný (tuto kontrolu mnoho programů ignoruje, což je však špatně). K tomu druhému slouží certifikační revokační seznamy (CRL) a jsou vydávané danou autoritou.

V Turrisu je kontrola CRL vyžadovaná, ale protože to skoro nic neumí, stahujeme si je skriptem sami. A během včerejška naše certifikační autorita změnila formát (aniž by nám o tom dala vědět a ještě nevíme, jestli jen omylem, nebo záměrně), ve kterém je zveřejňuje. Proto stažení toho seznamu přestalo fungovat. Starý seznam je většinou ponechán a má platnost asi týden, takže bychom měli stihnout zveřejnit opravu a ta by se většině lidí měla nainstalovat sama. Bohužel, pokud router přijde o staženou verzi, neumí si stáhnout novou a neumí si ani stáhnout opravu. A restartem se ta stažená verze smaže.

Jakmile bude k dispozici oprava, připravím nějaký návod, jak si méně šťastní lidé budou moci nainstalovat opravu ručně.

Za nepříjemnosti se omlouvám, s touto zradou od CA jsme nějak nepočítali.

Od Nabla128k

Dne 2016-03-18 13:31

Zajímavé je, že nejmíň měsíc jsem na router nesáhl ani jsem ho nerestartoval a stejně aktualizace neprošla (chápal bych to tak, že starý seznam měl být v platnosti).
Taková drobnost, ale nešlo by zveřejnit někde ten starý seznam v ještě platném formátu (někde asi bude, minimálně v některém turrisu) a ten jen ručně routeru podstrčit, aby to prozatím chodilo? Chápu, že to zrovna moc čisté není... A nebo si vygenerovat ten crl seznam sám, prázdný...

Od Michal Vaner (>>)

Dne 2016-03-18 14:21

Právě jsem zjistil, že sice platný je, ale při aktualizaci se rozhodne, že už není úplně nejčerstvější a že si ho radši stáhne znovu. A na tom spadne a dál nepokračuje :-(.

Možností, jak se s problémem vypořádat ručně je více (v případě ještě platného CRL, což by měl být váš případ, by například stačilo vyprázdnit skript na stáhnutí toho CRL ‒ nespadne, zůstane tam ten starý, se kterým už update projde a snad už se brzy dokompiluje ta oprava). Stejně tak připravíme jednoduchý příkaz, kterým to půjde uvést to funkčního stavu. Zatím jsme ale ještě nevzdali snahu, aby to šlo udělat ve většině případů bez zásahu uživatele.

Každopádně, prázdný seznam se vám vygenerovat nepovede ‒ ten je kryptograficky podepsaný danou autoritou, přesně proto, aby ho někdo nemohl jen tak vyměnit.

Od Michal Vaner (>>)

Dne 2016-03-18 16:04

Takže, novinky. Komunikujeme s certifikační autoritou a máme přislíbeno, že to změní alespoň na chvíli zpět. Zatím nemáme žádný časový odhad, ale znamenalo by to, že se to vyřeší samo.

Pokud je pro vás jediným problémem naskakující čas výpadků, pak bych navrhoval, ať to prozatím necháte být, výpadky bychom nějak dořešili (pravděpodobně vymazáním).

Od cayda90

Dne 2016-03-18 22:14

Aha, tak bohužel jsem zrovna před chvílí provedl factory reset a teď teprve zjistil, že je tento problém :( doufám, že se podaří problém úspěšně vyřešit :)

Od Michal Vaner (>>)

Dne 2016-03-21 09:54

Dobrý den

Autorita už vrací nějakou chvíli zase původní formát, snad už se to zpropagovalo do všech jejich mirrorů, takže by to mělo fungovat. Pokud by u vás problém přetrvával, tak se ozvěte.

Od cayda90

Dne 2016-03-21 10:00

Děkuju, už je všechno ok, Turris se po půlnoci sám aktualizoval :smile:

Od Baadvo

Dne 2016-03-26 13:47

Dobrý den

Jestli tomu správně rozumím. Tak až bude autorita po nějaké době zas vracet nový formát CRL seznamu. A já resetuji turrise do továrního nastavení, tak se turris nebude moct aktualizovat?
Je správné řešení když pomocí SD karty flashnu https://goo.gl/WyJ8V7 ? Je v *.iso obraze z 2016-03-18 15:40 aplikovaná oprava počítající s novým formátem CRL?

Od Michal Vaner (>>)

Dne 2016-03-29 10:08

Jednak to vypadá, že ten „nový formát“ autorita neplánovala, že se jim to tam dostalo omylem. Takže to nejspíš vracet ani nebudou.

Za druhé, tato oprava by měla factory reset přežít (podobně jako se ukládají aktualizované certifikáty). Nemusíte se tedy bát.

V novém obraze by měla oprava být (mělo by to 1:1 odpovídat tomu, co je vydané jako nejnovější). Ale od přeflashování z SD karty vás zrazovat nebudu, pokud vám nevadí trocha práce se šroubovákem, tak tím získáte kratší update po factory resetu a (pokud máte turris 1.0, který zatím flashovaný nebyl) spolehlivější filesystém.