Yarn: L'installation de Yarn sur Ubuntu 18.04.1 LTS donne une erreur de signature non valide. Clé expirée possible ?

Ohh, la clé a peut-être expiré aujourd'hui ! Il faudra que je jette un œil une fois de retour de vacances (plus tard aujourd'hui ou demain).

Nous avons également ce problème à partir d'aujourd'hui.

Merci pour toute votre aide @Daniel15.

@DanBuild Indeed : je rencontre également un EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]> lors de l'ajout du référentiel et de l'exécution de apt-get update sur debian stretch.

Notez la clé que vous fournissez :

$ curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | gpg --keyid-format 0xlong                                                                                                                 
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
pub   rsa4096/0x1646B01B86E50310 2016-10-05 [SC]
      72ECF46A56B4AD39C907BBB71646B01B86E50310
uid                             Yarn Packaging <[email protected]>
sub   rsa4096/0x02820C39D50AF136 2016-10-05 [E]
sub   rsa4096/0xD101F7899D41F3C3 2016-10-05 [S] [expired: 2017-10-05]
sub   rsa4096/0x46C2130DFD2497F5 2016-10-30 [S] [expires: 2019-01-01]
sub   rsa4096/0xE074D16EB6FF4DE3 2017-09-10 [S] [expired: 2019-01-01]

Notez que la sous-clé expirée est précisément celle qui a référencé l'erreur.

@Daniel15 La clé est valide jusqu'au 01-01-2019 selon https://github.com/yarnpkg/yarn/issues/4253

J'ai eu le même problème il y a quelques instants, il semble qu'il était valable jusqu'en 2018.
et oh... au fait, Bonne année les gars, super boulot chez Yarn !

Le script d'installation devrait toujours fonctionner, vous pouvez donc l'utiliser pour le moment. Je vais le réparer dès que je peux, mais ce ne sera pas avant ce soir car je suis actuellement en voyage.

Je crée généralement un problème Github pour la rotation des clés, mais j'ai oublié de le faire en 2018. Je vais ajouter un rappel dans mon calendrier pour ne pas l'oublier l'année prochaine aussi.

En tant que correctif temporaire, l'ajout de [trusted=yes] supprimera l'erreur GPG :

deb [trusted=yes] https://dl.yarnpkg.com/debian/ stable main

En tant que correctif temporaire, l'ajout de [trusted=yes] supprimera l'erreur GPG :

` deb [trusted=yes] https://dl.yarnpkg.com/debian/ stable main

J'ai ajouté ceci à mon fichier /etc/apt/sources.list.d/yarn.list... mais l'exécution de sudo apt update me donne toujours l'erreur. Y a-t-il autre chose que je dois faire ?

@daveomcd Je crois que cela apparaît juste comme un avertissement une fois que cela est ajouté, essayez d'exécuter le sudo apt-get install yarn . Il a pu s'installer après cela.

Cela a provoqué des échecs dans mon provisionnement automatique (flotte de points d'autoscaling aws) lorsqu'un rappel de tour ansible qui a exécuté un playbook qui a mis à jour le cache et a causé des échecs de provisionnement. Il est temps de durcir mes playbooks, soyez prudents, les gars !

Je suis vraiment désolé de l'avoir cassé. C'est 100% de ma faute. Je crée généralement un problème Github pour la rotation annuelle des clés (voir le numéro 4253 pour le numéro précédent), mais j'ai oublié d'en créer un l'année dernière et cela m'a échappé cette année.

La solution de contournement de @daveomcd est bonne. Je suis encore à quelques heures de chez moi mais je vais tourner la clé et publier la nouvelle dès que possible. Je vais également configurer une surveillance afin que nous recevions des alertes si la clé est dans les 90 jours suivant son expiration.

Notez que pour les systèmes CI, idéalement, vous ne devriez pas installer Yarn frais sur chaque version. Au lieu de cela, utilisez une image Docker avec tous vos outils de construction installés. :)

@Daniel15 Pas de soucis, nous apprécions tous le temps que vous consacrez entièrement bénévolement et gratuitement à la maintenance des logiciels open source.

Notez que pour les systèmes CI, idéalement, vous ne devriez pas installer Yarn frais sur chaque version. Au lieu de cela, utilisez une image Docker avec tous vos outils de construction installés. :)

Ou cachez-le... C'est ainsi que j'ai contourné ce problème sur Circle CI... de cette façon, si l'installation du plus récent échoue, j'ai toujours un fil sur lequel me replier.

Je pense que le conteneur Node.js Docker de CircleCI est livré avec Yarn pré-installé.

Envoyé depuis mon téléphone.

Le mardi 1 janvier 2019, 16 h 12, Allan Chappell < [email protected] a écrit :

Notez que pour les systèmes CI, idéalement, vous ne devriez pas installer Yarn fresh sur
chaque construction. Au lieu de cela, utilisez une image Docker avec tous vos outils de construction
installée. :)

Ou cachez-le... C'est ainsi que j'ai contourné ce problème sur Circle CI...
de cette façon, si l'installation du plus récent échoue, j'ai toujours un fil sur lequel me replier.

-
Vous recevez ceci parce que vous avez été mentionné.
Répondez directement à cet e-mail, consultez-le sur GitHub
https://github.com/yarnpkg/yarn/issues/6865#issuecomment-450767431 , ou couper le son
le fil
https://github.com/notifications/unsubscribe-auth/AAFnHUwhfyQicMQpS_8ikFZ5NfcoI1iyks5u-_ligaJpZM4ZmBF5
.

Correct,
et maintenant, apparemment, ils ont également une variante de navigateur de nœuds sur les conteneurs PHP qui inclut également le fil... ce qui n'a pas toujours été le cas... il est temps d'aller mettre à jour certaines balises de conteneur Docker.

Je crée généralement un problème Github pour la rotation des clés, mais j'ai oublié de le faire en 2018. Je vais ajouter un rappel dans mon calendrier pour ne pas l'oublier l'année prochaine aussi.

Je voudrais recommander d'expirer la clé à une date autre que le 1er janvier… de cette façon, si elle expire, ce n'est pas pendant une période de vacances :)

pense que cela a peut-être été signalé avant le 1er janvier même ..
https://github.com/yarnpkg/yarn/issues/6861

Devrait être corrigé par https://github.com/yarnpkg/releases/commit/0f3e4b26cd64fda47e46d82bf3ab458935deb36a.

Veuillez retélécharger la clé car elle contient désormais une nouvelle sous-clé :

curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -

La nouvelle sous-clé expire le 02-02-2020 (merci pour la suggestion de ne pas utiliser le 1er janvier, @jleclanche)

@ Daniel15 Merci pour le temps de réponse rapide, je peux confirmer que cela fonctionne =)

Oui, je viens de vérifier avec de nouvelles machines virtuelles Debian et Ubuntu et j'ai vérifié que cela fonctionnait maintenant. Merci pour votre patience!

Mon erreur ici était de supposer qu'apt/dpkg conviendrait toujours avec la clé/la signature même si elle avait expiré, car le dépôt a été signé alors que la clé était encore valide (puisque la dernière mise à jour a eu lieu en novembre). Je pense que c'est ce que fait GPG "vanille", et c'est aussi comment cela fonctionne sous Windows :

Les outils de signature de Microsoft permettent aux développeurs d'apposer des horodatages en même temps qu'ils apposent des signatures Authenticode. L'horodatage permet aux signatures Authenticode d'être vérifiables même après l'expiration des certificats utilisés pour la signature.

https://docs.microsoft.com/en-us/windows/desktop/seccrypto/time-stamping-authenticode-signatures

Je vais suivre cela en créant des scripts de surveillance qui nous alertent lorsque la clé est sur le point d'expirer dangereusement.

Les outils de signature de Microsoft permettent aux développeurs d'apposer des horodatages en même temps qu'ils apposent des signatures Authenticode. L'horodatage permet aux signatures Authenticode d'être vérifiables même après l'expiration des certificats utilisés pour la signature.

Je pense que ça devrait fonctionner comme ça ! Probablement un rapport de bogue sur Debian ?

J'ai toujours l'avertissement avec le repo nocturne
W: GPG error: https://nightly.yarnpkg.com/debian nightly InRelease: The following signatures were invalid: EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]> E: The repository 'https://nightly.yarnpkg.com/debian nightly InRelease' is not signed.

J'ai généré une nouvelle sous-clé GPG pour le dépôt nocturne, mais j'ai des problèmes avec Aptly (#6904) qui rend impossible la republiage du dépôt :/

18:00 daniel<strong i="6">@vps03</strong> /var/www/nightly.yarnpkg.com
% ./update-deb.sh
+ aptly repo add -remove-files=true yarn-nightly ./nightly/deb-incoming/
Loading packages...
+ aptly publish update -gpg-key=4F77679369475BAA nightly yarn-nightly
ERROR: unable to update: local repo with uuid 55ff60af-263a-4df6-8f97-2c09ad7a4995 not found

Cela devrait être réparé maintenant!

Salut,

le problème est toujours là avec ceci dans mon /etc/apt/sources.list.d :

deb https://dl.yarnpkg.com/debian/ stable main

Edit: peu importe, le re-téléchargement de la clé l'a corrigé. :)

Je peux appuyer le commentaire ci-dessus. La clé a changé depuis la rotation précédente il y a 9 jours et a dû être téléchargée à nouveau.

J'ai ajouté une nouvelle sous-clé pour les builds nocturnes, mais cela n'aurait PAS dû
affecté le repo stable. Je vais devoir regarder ce qui s'est passé ici...

Envoyé depuis mon téléphone.

Le vendredi 11 janvier 2019, 01h37, bvnierop < [email protected] a écrit :

Je peux appuyer le commentaire ci-dessus. La clé a changé depuis la précédente
rotation il y a 9 jours et a dû être retéléchargé.

-
Vous recevez ceci parce que vous avez été mentionné.
Répondez directement à cet e-mail, consultez-le sur GitHub
https://github.com/yarnpkg/yarn/issues/6865#issuecomment-453452379 , ou couper le son
le fil
https://github.com/notifications/unsubscribe-auth/AEuWKj1tM5EhRflgriBWQ-iOw9gIhmSzks5vCFtngaJpZM4ZmBF5
.

La clé a changé depuis la rotation précédente il y a 9 jours

Enquête sur https://github.com/yarnpkg/yarn/issues/6916. Actuellement, cela ressemble à un bogue Aptly : https://github.com/aptly-dev/aptly/issues/805

J'ai résolu ici avec les commandes:
sudo pkill dirmngr; dirmngr --debug-all --daemon --standard-resolver
sudo apt-key adv --keyserver ha.pool.sks-keyservers.net --recv-keys 4F77679369475BAA
wget https://yum.dockerproject.org/gpg
sudo apt-key ajouter gpg

La clé révisée que j'ai téléchargée il y a 4 jours (qui comprenait la nouvelle sous-clé) a cessé de fonctionner aujourd'hui.

Désolé pour ça... Ça devrait aller maintenant. Cela a été suivi dans #6916.

J'ai maintenant un tableau de bord surveillant les dates d'expiration clés : https://dash.d.sb/d/0PYZ8W_iz/yarn et je vais configurer la surveillance pour cela.

expiré à nouveau.

The following signatures were invalid: EXPKEYSIG 23E7166788B63E1E Yarn Packaging <[email protected]>

curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -

résolu le problème

J'ai prolongé l'expiration il y a quelques semaines, mais vous devez le mettre à jour manuellement car je ne l'ai pas encore configuré pour la mise à jour automatique. Voir #7866