TLS-сертификаты и некрофилия

klink0v — 25.10.2024

... На одном из сервисов у одного из заказчиков подошел к концу срок действия TLS-сертфиката (X509). По штатной процедуре он купил новый сертификат, прислал, мы обновили. Вроде бы, что могло пойти не так? Через пару дней партнер прибегает с криками "шеф, усё пропало". Клиенты с совсем старыми мобилками и внезапно новыми понтовыми Samsung-ами наподобие S23 Ultra почему-то больше не могут пользоваться этим сервисом. У остальных всё нормально.

Полез разбираться. Новый сертификат они купили у AlphaSSL, который подписан корнем GlobalSign Root CA - R6. А дальше идем

Ладно, кто виноват понятно. Осталось выяснить что делать. К счастью, именно вот Global Sign ">кросс-сертификаты". Можно увеличить цепочку доверия на один хоп, но придти не к R6, а например к R3, который уже есть в ондроедах начиная с 3-ей версии. Так мы и поступили, happy end. А если бы такого кросс-сертификата не было бы? Тогда всё, приехали, ж...а.

И ещё жирный тяжелый камень в гнусмасовский огород. Он связан с eSIM. В поддерживающих оную технологию смартфонах предусмотрена специальная софтина под названием LPA: Local Profile Assistant. В числе прочего она загружает в eSIM-чип операторские профили и отправляет ОПСОСам разновсяческие нотификации (то бишь "стучит", ага) на тему "загрузил", "удалил", "активировал", "деактивировал" и тому подобное применительно к виртуальной SIMке.

Если LPA по какой-то причине не смог отправить событие "здесь и сейчас", то ставит его в очередь, чтобы отослать его когда-нибудь потом. Как правило, это случится при следующей перезагрузке аппарата. Но бывает и так, что по разным причинам какое-то событие "застревает" надолго и не может добраться до оператора-адресата. "Нормальный" телефон выждет какой-то тайм-аут и попробует послать следующее событие из очереди. Но не Samsung. Он будет как тупой баран пытаться обработать первое событие в списке и уже никогда не доберется до всех остальных. Всё бы ничего, но это полностью ломает бизнес-логику работы с eSIM у некоторых операторов. В такой ситуации спасает только Hard Reset трубки до заводских установок с удалением всего и вся, других вариантов нет.

Отсюда мораль.

• Перед тем как покупать "честный" X509-сертификат, не поленитесь посмотреть какими "корнями" он подписан и наличествуют ли оные в интересующих вас клиентах. Иначе можно попасть в неловкую ситуацию, особенно если сервис публичный и возможно нашествие некрофилов.


• Телефоны Samsung — шлак и гнильё с тоннами багов внутри. По возможности избегайте их.

Оставить комментарий

Популярные посты:

verus

QR-код на столе: как сократить время расчёта и повысить комфорт гостей

amarok_man

Советские кинопары, которые в реальности друг друга терпеть не могли...

vovse_nesprosta

Над днях закапывали еду

id77

Пассионарные саксы

maria_vlasova

Вечная любовница.

iam_krasnoyarsk

Про неблогеров - 2. «Dilettante — любитель»

foto_history

Чья очередь следующая?

neosonus

Оптимизм - уровень "pro"

colonelcassad

Неожиданное место

• Ранее
• Архив