Yarn: La instalación de Yarn en Ubuntu 18.04.1 LTS produce un error de firma no válido. ¿Posible clave caducada?
¿Cuál es el comportamiento actual?
Intento instalar yarn en un nuevo servidor Ubuntu 18.04.1 LTS y obtengo los siguientes errores:
root<strong i="8">@vps631721</strong>:~# curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -
OK
root<strong i="9">@vps631721</strong>:~# apt-key list
/etc/apt/trusted.gpg
--------------------
pub rsa4096 2016-10-05 [SC]
72EC F46A 56B4 AD39 C907 BBB7 1646 B01B 86E5 0310
uid [ unknown] Yarn Packaging <[email protected]>
sub rsa4096 2016-10-05 [E]
sub rsa4096 2016-10-30 [S] [expires: 2019-01-01]
.................
root<strong i="10">@vps631721</strong>:~# echo "deb https://dl.yarnpkg.com/debian/ stable main" | sudo tee /etc/apt/sources.list.d/yarn.list
deb https://dl.yarnpkg.com/debian/ stable main
root<strong i="11">@vps631721</strong>:~# sudo apt-get update
Hit:1 http://security.ubuntu.com/ubuntu bionic-security InRelease
Hit:2 http://ppa.launchpad.net/certbot/certbot/ubuntu bionic InRelease
Hit:3 http://nova.clouds.archive.ubuntu.com/ubuntu bionic InRelease
Hit:4 http://nova.clouds.archive.ubuntu.com/ubuntu bionic-updates InRelease
Get:5 https://dl.yarnpkg.com/debian stable InRelease [13.3 kB]
Hit:6 http://nova.clouds.archive.ubuntu.com/ubuntu bionic-backports InRelease
Hit:7 http://apt.postgresql.org/pub/repos/apt bionic-pgdg InRelease
Err:5 https://dl.yarnpkg.com/debian stable InRelease
The following signatures were invalid: EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]>
Reading package lists... Done
W: GPG error: https://dl.yarnpkg.com/debian stable InRelease: The following signatures were invalid: EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]>
E: The repository 'https://dl.yarnpkg.com/debian stable InRelease' is not signed.
N: Updating from such a repository can't be done securely, and is therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user configuration details.
No sé si la línea sub rsa4096 2016-10-30 [S] [expires: 2019-01-01] (que es hoy) al hacer el apt-key list tiene alguna importancia.
¿Cuál es el comportamiento esperado?
Instalaciones de hilo.
Por favor, mencione su versión de node.js, yarn y sistema operativo.
Ubuntu 18.04.1 LTS
Hates
Todos 35 comentarios
¡Oh, la clave puede haber caducado hoy! Tendré que echar un vistazo una vez que regrese de las vacaciones (más tarde hoy o mañana).
Daniel15
en 1 ene. 2019
También estamos teniendo este problema a partir de hoy.
Gracias por toda tu ayuda @ Daniel15.
sharkeyryan
en 1 ene. 2019
@DanBuild De hecho: también experimento un EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]> al agregar el repositorio y ejecutar apt-get update en debian stretch.
Anote la clave que proporciona:
$ curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | gpg --keyid-format 0xlong
gpg: WARNING: no command supplied. Trying to guess what you mean ...
pub rsa4096/0x1646B01B86E50310 2016-10-05 [SC]
72ECF46A56B4AD39C907BBB71646B01B86E50310
uid Yarn Packaging <[email protected]>
sub rsa4096/0x02820C39D50AF136 2016-10-05 [E]
sub rsa4096/0xD101F7899D41F3C3 2016-10-05 [S] [expired: 2017-10-05]
sub rsa4096/0x46C2130DFD2497F5 2016-10-30 [S] [expires: 2019-01-01]
sub rsa4096/0xE074D16EB6FF4DE3 2017-09-10 [S] [expired: 2019-01-01]
Tenga en cuenta que la subclave caducada es precisamente la que hace referencia al error.
lukasjuhrich
en 1 ene. 2019
@ Daniel15 La clave es válida hasta 2019-01-01 según https://github.com/yarnpkg/yarn/issues/4253
gbrusella
en 1 ene. 2019
Tuve el mismo problema hace unos momentos, parece que fue válido hasta 2018.
y oh ... por cierto, ¡Feliz año nuevo chicos, gran trabajo en Yarn!
AliSawari
en 1 ene. 2019
El script de instalación aún debería funcionar, por lo que puede usarlo por ahora. Lo arreglaré tan pronto como pueda, pero no será hasta esta noche, ya que estoy viajando.
Por lo general, creo un problema de Github para la rotación de claves, pero me olvidé de hacerlo en 2018. Voy a agregar un recordatorio en mi calendario para no olvidarme de esto también el próximo año.
Daniel15
en 1 ene. 2019
Como solución temporal, agregar [trusted=yes] eliminará el error GPG:
deb [trusted=yes] https://dl.yarnpkg.com/debian/ stable main
guyguy333
en 1 ene. 2019
Como solución temporal, agregar
[trusted=yes]eliminará el error GPG:`
deb [trusted=yes] https://dl.yarnpkg.com/debian/ stable main
Agregué esto a mi archivo /etc/apt/sources.list.d/yarn.list ... pero ejecutar sudo apt update todavía me da el error. ¿Hay algo más que deba hacer?
daveomcd
en 1 ene. 2019
@daveomcd Creo que solo aparece como una advertencia una vez que se agrega, intente ejecutar sudo apt-get install yarn . Se pudo instalar después de eso.
Hates
en 1 ene. 2019
Esto causó fallas en mi aprovisionamiento automático (flota puntual de escalado automático de AWS) cuando una devolución de llamada de torre ansible que ejecutó un libro de jugadas que actualizó el caché y causó fallas de provisión. Es hora de endurecer mis libros de jugadas, ¡tengan cuidado, amigos!
rromanchuk
en 1 ene. 2019
Lo siento mucho por romperlo. Esto es 100% culpa mía. Por lo general, creo un problema de Github para la rotación anual de claves (consulte el número 4253 para el número anterior), pero olvidé crear uno el año pasado y se me olvidó este año.
La solución alternativa de @daveomcd es buena. Todavía estoy a unas horas de casa, pero rotaré la clave y publicaré la nueva lo antes posible. También voy a configurar un poco de monitoreo para que recibamos alertas si la clave está dentro de los 90 días posteriores a la fecha de vencimiento.
Tenga en cuenta que para los sistemas CI, lo ideal es que no instale Yarn nuevo en cada compilación. En su lugar, use una imagen de Docker con todas sus herramientas de compilación instaladas. :)
Daniel15
en 1 ene. 2019
@ Daniel15 No se preocupe, todos apreciamos el tiempo que dedica de forma totalmente voluntaria y gratuita al mantenimiento del software de código abierto.
kojiromike
en 1 ene. 2019
Tenga en cuenta que para los sistemas CI, lo ideal es que no instale Yarn nuevo en cada compilación. En su lugar, use una imagen de Docker con todas sus herramientas de compilación instaladas. :)
O guardarlo en caché ... Esa es la forma en que solucioné este problema en Circle CI ... de esa manera, si la instalación de los más nuevos falla, todavía tengo un hilo al que recurrir.
generalredneck
en 2 ene. 2019
Creo que el contenedor Docker Node.js de CircleCI viene con Yarn preinstalado.
Enviado desde mi teléfono.
El martes 1 de enero de 2019 a las 4:12 p.m., Allan Chappell < [email protected] escribió:
Tenga en cuenta que para los sistemas CI, lo ideal es que no instale Yarn nuevo en
cada construcción. En su lugar, use una imagen de Docker con todas sus herramientas de compilación
instalado. :)O guardarlo en caché ... Esa es la forma en que solucioné este problema en Circle CI ...
de esa manera, si la instalación de la más nueva falla, todavía tengo un hilo al que recurrir.-
Recibes esto porque te mencionaron.
Responda a este correo electrónico directamente, véalo en GitHub
https://github.com/yarnpkg/yarn/issues/6865#issuecomment-450767431 , o silenciar
la amenaza
https://github.com/notifications/unsubscribe-auth/AAFnHUwhfyQicMQpS_8ikFZ5NfcoI1iyks5u-_ligaJpZM4ZmBF5
.
Daniel15
en 2 ene. 2019
Correcto,
y ahora, aparentemente, también tienen una variante de navegadores de nodos en los contenedores PHP que también incluye hilo ... que no siempre fue el caso ... es hora de actualizar algunas etiquetas de contenedor de Docker.
generalredneck
en 2 ene. 2019
Por lo general, creo un problema de Github para la rotación de claves, pero me olvidé de hacerlo en 2018. Voy a agregar un recordatorio en mi calendario para no olvidarme de esto también el próximo año.
Me gustaría recomendar caducar la clave en una fecha que no sea el 1 de enero ... de esa manera, si caduca, no es durante un período de vacaciones :)
jleclanche
en 2 ene. 2019
Creo que esto puede haber sido informado antes del 1 de enero incluso ..
https://github.com/yarnpkg/yarn/issues/6861
traceypooh
en 2 ene. 2019
Debe solucionarlo https://github.com/yarnpkg/releases/commit/0f3e4b26cd64fda47e46d82bf3ab458935deb36a.
Vuelva a descargar la clave, ya que ahora contiene una nueva subclave:
curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -
La nueva subclave expira el 02/02/2020 (gracias por la sugerencia de no usar el 1 de enero, @jleclanche)
Daniel15
en 2 ene. 2019
@ Daniel15 Gracias por el tiempo de respuesta rápido, puedo confirmar que funciona =)
jleclanche
en 2 ene. 2019
Sí, acabo de verificar dos veces con nuevas máquinas virtuales Debian y Ubuntu y verifiqué que está funcionando ahora. ¡Gracias por su paciencia!
Mi error aquí fue suponer que apt / dpkg aún estaría bien con la clave / firma aunque esté vencida, ya que el repositorio se firmó mientras la clave aún era válida (ya que la última actualización fue en noviembre). Creo que esto es lo que hace GPG 'vanilla', y también funciona en Windows:
Las herramientas de firma de Microsoft permiten a los desarrolladores colocar marcas de tiempo al mismo tiempo que colocan firmas Authenticode. El sello de tiempo permite que las firmas Authenticode sean verificables incluso después de que los certificados utilizados para la firma hayan caducado.
https://docs.microsoft.com/en-us/windows/desktop/seccrypto/time-stamping-authenticode-signatures
Daré seguimiento a esto creando algunos scripts de monitoreo que nos alertarán cuando la clave esté peligrosamente cerca de caducar.
Daniel15
en 2 ene. 2019
Las herramientas de firma de Microsoft permiten a los desarrolladores colocar marcas de tiempo al mismo tiempo que colocan firmas Authenticode. El sello de tiempo permite que las firmas Authenticode sean verificables incluso después de que los certificados utilizados para la firma hayan caducado.
¡Creo que debería funcionar así! ¿Probablemente un informe de error en Debian?
raphaelpereira
en 2 ene. 2019
Todavía tengo la advertencia con repositorio nocturno
W: GPG error: https://nightly.yarnpkg.com/debian nightly InRelease: The following signatures were invalid: EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]>
E: The repository 'https://nightly.yarnpkg.com/debian nightly InRelease' is not signed.
abdullaev
en 11 ene. 2019
Genere una nueva subclave GPG para el repositorio nocturno, pero tengo problemas con Aptly (# 6904) que hace imposible volver a publicar el repositorio: /
18:00 daniel<strong i="6">@vps03</strong> /var/www/nightly.yarnpkg.com
% ./update-deb.sh
+ aptly repo add -remove-files=true yarn-nightly ./nightly/deb-incoming/
Loading packages...
+ aptly publish update -gpg-key=4F77679369475BAA nightly yarn-nightly
ERROR: unable to update: local repo with uuid 55ff60af-263a-4df6-8f97-2c09ad7a4995 not found
¡Esto debe ser resuelto ahora!
Daniel15
en 11 ene. 2019
Hola,
el problema sigue aquí con esto en mi /etc/apt/sources.list.d :
deb https://dl.yarnpkg.com/debian/ stable main
Editar: no importa, volver a descargar la clave lo solucionó. :)
manuel-uberti
en 11 ene. 2019
Puedo apoyar el comentario anterior. La clave cambió desde la rotación anterior hace 9 días y tuvo que volver a descargarse.
bvnierop
en 11 ene. 2019
Agregué una nueva subclave para las compilaciones nocturnas, sin embargo, eso NO debería tener
afectado el repositorio estable. Tendré que investigar lo que pasó aquí ...
Enviado desde mi teléfono.
El viernes 11 de enero de 2019 a la 1:37 a. M., Bvnierop < [email protected] escribió:
Puedo apoyar el comentario anterior. La clave cambió desde la anterior.
rotación hace 9 días y tuvo que volver a descargarse.-
Recibes esto porque te mencionaron.
Responda a este correo electrónico directamente, véalo en GitHub
https://github.com/yarnpkg/yarn/issues/6865#issuecomment-453452379 , o silenciar
la amenaza
https://github.com/notifications/unsubscribe-auth/AEuWKj1tM5EhRflgriBWQ-iOw9gIhmSzks5vCFtngaJpZM4ZmBF5
.
DanBuild
en 11 ene. 2019
La clave cambió desde la rotación anterior hace 9 días.
Investigando en https://github.com/yarnpkg/yarn/issues/6916. Actualmente parece un error de Aptly: https://github.com/aptly-dev/aptly/issues/805
Daniel15
en 14 ene. 2019
Resolví aquí con los comandos:
sudo pkill dirmngr; dirmngr --debug-all --daemon --resolver-estándar
sudo apt-key adv --keyserver ha.pool.sks-keyservers.net --recv-keys 4F77679369475BAA
wget https://yum.dockerproject.org/gpg
sudo apt-key agregar gpg
LukasTsunami
en 15 ene. 2019
La clave revisada que descargué hace 4 días (que incluía la nueva subclave) dejó de funcionar nuevamente hoy.
bvnierop
en 15 ene. 2019
Lo siento ... Debería estar bien ahora. Eso fue rastreado en # 6916.
Daniel15
en 20 ene. 2019
Ahora tengo un panel que monitorea las fechas de vencimiento de las claves: https://dash.d.sb/d/0PYZ8W_iz/yarn y configuraré el monitoreo para ello.
Daniel15
en 25 ene. 2019
Caducó de nuevo.
The following signatures were invalid: EXPKEYSIG 23E7166788B63E1E Yarn Packaging <[email protected]>
Thumpxr
en 2 feb. 2020
curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -
resuelve el problema
ygModesto
en 2 feb. 2020
Extendí el vencimiento hace unas semanas, pero debes actualizarlo manualmente ya que aún no lo he configurado para que se actualice automáticamente. Ver # 7866
Daniel15
en 2 feb. 2020
Temas relacionados
FLGMwt
·
3Comentarios
sanex3339
·
3Comentarios
chiedo
·
3Comentarios
seansfkelley
·
3Comentarios
sebmck
·
3Comentarios
Comentario más útil
Debe solucionarlo https://github.com/yarnpkg/releases/commit/0f3e4b26cd64fda47e46d82bf3ab458935deb36a.
Vuelva a descargar la clave, ya que ahora contiene una nueva subclave:
La nueva subclave expira el 02/02/2020 (gracias por la sugerencia de no usar el 1 de enero, @jleclanche)