Yarn: Menginstal Benang di Ubuntu 18.04.1 LTS memberikan kesalahan tanda tangan yang tidak valid. Kemungkinan kunci kedaluwarsa?

Dibuat pada 1 Jan 2019  ·  35Komentar  ·  Sumber: yarnpkg/yarn

Apa perilaku saat ini?

Mencoba menginstal benang pada server Ubuntu 18.04.1 LTS baru dan saya mendapatkan kesalahan berikut:

root<strong i="8">@vps631721</strong>:~# curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -
OK
root<strong i="9">@vps631721</strong>:~# apt-key list
/etc/apt/trusted.gpg
--------------------
pub   rsa4096 2016-10-05 [SC]
      72EC F46A 56B4 AD39 C907  BBB7 1646 B01B 86E5 0310
uid           [ unknown] Yarn Packaging <[email protected]>
sub   rsa4096 2016-10-05 [E]
sub   rsa4096 2016-10-30 [S] [expires: 2019-01-01]

.................

root<strong i="10">@vps631721</strong>:~# echo "deb https://dl.yarnpkg.com/debian/ stable main" | sudo tee /etc/apt/sources.list.d/yarn.list
deb https://dl.yarnpkg.com/debian/ stable main
root<strong i="11">@vps631721</strong>:~# sudo apt-get update
Hit:1 http://security.ubuntu.com/ubuntu bionic-security InRelease
Hit:2 http://ppa.launchpad.net/certbot/certbot/ubuntu bionic InRelease
Hit:3 http://nova.clouds.archive.ubuntu.com/ubuntu bionic InRelease
Hit:4 http://nova.clouds.archive.ubuntu.com/ubuntu bionic-updates InRelease
Get:5 https://dl.yarnpkg.com/debian stable InRelease [13.3 kB]
Hit:6 http://nova.clouds.archive.ubuntu.com/ubuntu bionic-backports InRelease
Hit:7 http://apt.postgresql.org/pub/repos/apt bionic-pgdg InRelease
Err:5 https://dl.yarnpkg.com/debian stable InRelease
  The following signatures were invalid: EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]>
Reading package lists... Done
W: GPG error: https://dl.yarnpkg.com/debian stable InRelease: The following signatures were invalid: EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]>
E: The repository 'https://dl.yarnpkg.com/debian stable InRelease' is not signed.
N: Updating from such a repository can't be done securely, and is therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user configuration details.

Saya tidak tahu apakah baris sub rsa4096 2016-10-30 [S] [expires: 2019-01-01] (yang hari ini) saat melakukan apt-key list ada catatan?

Apa perilaku yang diharapkan?

Pemasangan benang.

Sebutkan versi node.js, benang, dan sistem operasi Anda.

Ubuntu 18.04.1 LTS

triaged

Komentar yang paling membantu

Harus diperbaiki dengan https://github.com/yarnpkg/releases/commit/0f3e4b26cd64fda47e46d82bf3ab458935deb36a.

Silakan unduh ulang kunci karena sekarang berisi subkunci baru:

curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -

Subkunci baru berakhir pada 02-02-2020 (terima kasih atas sarannya untuk tidak menggunakan 1 Januari, @jleclanche)

Semua 35 komentar

Ohh, kuncinya mungkin telah kedaluwarsa hari ini! Saya harus memeriksanya setelah saya kembali dari liburan (nanti hari ini atau besok).

Kami mengalami masalah ini mulai hari ini juga.

Terima kasih atas semua bantuan Anda @ Daniel15.

@DanBuild Memang: Saya juga mengalami EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]> saat menambahkan repo dan menjalankan apt-get update pada peregangan debian.

Perhatikan kunci yang Anda berikan:

$ curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | gpg --keyid-format 0xlong                                                                                                                 
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
pub   rsa4096/0x1646B01B86E50310 2016-10-05 [SC]
      72ECF46A56B4AD39C907BBB71646B01B86E50310
uid                             Yarn Packaging <[email protected]>
sub   rsa4096/0x02820C39D50AF136 2016-10-05 [E]
sub   rsa4096/0xD101F7899D41F3C3 2016-10-05 [S] [expired: 2017-10-05]
sub   rsa4096/0x46C2130DFD2497F5 2016-10-30 [S] [expires: 2019-01-01]
sub   rsa4096/0xE074D16EB6FF4DE3 2017-09-10 [S] [expired: 2019-01-01]

Perhatikan bahwa subkunci yang kedaluwarsa adalah yang mereferensikan kesalahan.

@Daniel15 Kuncinya berlaku hingga 01-01 2019 sesuai https://github.com/yarnpkg/yarn/issues/4253

Saya memiliki masalah yang sama beberapa saat yang lalu, sepertinya itu valid hingga 2018.
dan oh... ngomong-ngomong, Selamat tahun baru guys, kerja bagus di Benang!

Skrip instalasi seharusnya masih berfungsi, jadi Anda dapat menggunakannya untuk saat ini. Saya akan memperbaikinya sesegera mungkin, tetapi itu tidak akan sampai malam ini karena saya sedang bepergian.

Saya biasanya membuat masalah Github untuk rotasi kunci, tetapi saya lupa melakukannya pada tahun 2018. Saya akan menambahkan pengingat di kalender saya sehingga saya tidak melupakan ini tahun depan juga.

Sebagai perbaikan sementara, menambahkan [trusted=yes] akan menghapus kesalahan GPG:

deb [trusted=yes] https://dl.yarnpkg.com/debian/ stable main

Sebagai perbaikan sementara, menambahkan [trusted=yes] akan menghapus kesalahan GPG:

` deb [trusted=yes] https://dl.yarnpkg.com/debian/ stable main

Saya menambahkan ini ke file /etc/apt/sources.list.d/yarn.list saya ... tetapi menjalankan Sudo apt update masih memberi saya kesalahan. Apakah ada hal lain yang perlu saya lakukan?

@daveomcd Saya percaya itu hanya muncul sebagai peringatan setelah ditambahkan, coba jalankan sudo apt-get install yarn . Itu dapat menginstal setelah itu.

Ini menyebabkan kegagalan dalam penyediaan otomatis saya (armada spot penskalaan otomatis aws) ketika kemungkinan panggilan balik menara yang menjalankan buku pedoman yang memperbarui cache dan menyebabkan kegagalan penyediaan. Saatnya mengeraskan buku pedoman saya, berhati-hatilah di luar sana!

Aku benar-benar minta maaf karena melanggarnya. Ini 100% salahku. Saya biasanya membuat masalah Github untuk rotasi kunci tahunan (lihat #4253 untuk edisi sebelumnya) tetapi lupa untuk membuatnya tahun lalu dan itu baru saja terlintas dalam pikiran saya tahun ini.

Solusi @daveomcd bagus. Saya masih beberapa jam lagi dari rumah, tetapi saya akan memutar kunci dan menerbitkan yang baru sesegera mungkin. Saya juga akan mengonfigurasi beberapa pemantauan sehingga kami mendapatkan peringatan jika kuncinya dalam waktu 90 hari kedaluwarsa.

Perhatikan bahwa untuk sistem CI, idealnya Anda tidak menginstal Yarn baru pada setiap build. Sebagai gantinya, gunakan image Docker dengan semua alat build Anda terpasang. :)

@Daniel15 Jangan khawatir, kami semua menghargai waktu yang Anda curahkan sepenuhnya secara sukarela dan gratis untuk memelihara perangkat lunak sumber terbuka.

Perhatikan bahwa untuk sistem CI, idealnya Anda tidak menginstal Yarn baru pada setiap build. Sebagai gantinya, gunakan image Docker dengan semua alat build Anda terpasang. :)

Atau temboloknya... Begitulah cara saya mengatasi masalah ini di Circle CI... dengan begitu jika pemasangan yang terbaru gagal, saya masih punya benang untuk mundur.

Saya pikir wadah Node.js Docker CircleCI dilengkapi dengan Benang yang sudah diinstal sebelumnya.

Dikirim dari ponsel saya.

Pada Selasa, 1 Januari 2019, 16:12 Allan Chappell < [email protected] menulis:

Perhatikan bahwa untuk sistem CI, idealnya Anda tidak menginstal Yarn segar pada
setiap membangun. Sebagai gantinya, gunakan gambar Docker dengan semua alat build Anda
diinstal. :)

Atau temboloknya... Begitulah cara saya mengatasi masalah ini di Circle CI...
dengan begitu jika pemasangan yang terbaru gagal, saya masih punya benang untuk mundur.


Anda menerima ini karena Anda disebutkan.
Balas email ini secara langsung, lihat di GitHub
https://github.com/yarnpkg/yarn/issues/6865#issuecomment-450767431 , atau bisu
benang
https://github.com/notifications/unsubscribe-auth/AAFnHUwhfyQicMQpS_8ikFZ5NfcoI1iyks5u-_ligaJpZM4ZmBF5
.

Benar,
dan sekarang tampaknya mereka memiliki varian node-browser pada wadah PHP juga yang juga menyertakan benang... yang tidak selalu demikian... saatnya untuk memperbarui beberapa tag wadah buruh pelabuhan.

Saya biasanya membuat masalah Github untuk rotasi kunci, tetapi saya lupa melakukannya pada tahun 2018. Saya akan menambahkan pengingat di kalender saya sehingga saya tidak melupakan ini tahun depan juga.

Saya ingin merekomendasikan kedaluwarsa kunci pada tanggal selain 1 Januari ... jadi jika itu kedaluwarsa, itu bukan selama masa liburan :)

pikir ini mungkin telah dilaporkan lebih awal dari 1 Januari bahkan..
https://github.com/yarnpkg/yarn/issues/6861

Harus diperbaiki dengan https://github.com/yarnpkg/releases/commit/0f3e4b26cd64fda47e46d82bf3ab458935deb36a.

Silakan unduh ulang kunci karena sekarang berisi subkunci baru:

curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -

Subkunci baru berakhir pada 02-02-2020 (terima kasih atas sarannya untuk tidak menggunakan 1 Januari, @jleclanche)

@Daniel15 Terima kasih atas waktu responsnya yang cepat, saya dapat mengonfirmasi itu berfungsi =)

Ya, saya baru saja memeriksa ulang dengan VM Debian dan Ubuntu baru dan memverifikasi bahwa itu berfungsi sekarang. Terima kasih atas kesabaran Anda!

Kesalahan saya di sini adalah berasumsi bahwa apt/dpkg akan tetap baik-baik saja dengan kunci/tanda tangan meskipun sudah kedaluwarsa, karena repo ditandatangani saat kuncinya masih valid (sejak pembaruan terakhir pada bulan November). Saya pikir inilah yang dilakukan GPG 'vanilla', dan juga cara kerjanya di Windows:

Alat penandatanganan dari Microsoft memungkinkan pengembang untuk membubuhkan stempel waktu pada saat yang sama saat mereka membubuhkan tanda tangan Authenticode. Stempel waktu memungkinkan tanda tangan Authenticode dapat diverifikasi bahkan setelah sertifikat yang digunakan untuk tanda tangan telah kedaluwarsa.

https://docs.microsoft.com/en-us/windows/desktop/seccrypto/time-stamping-authenticode-signatures

Saya akan menindaklanjuti ini dengan membuat beberapa skrip pemantauan yang akan mengingatkan kami ketika kuncinya hampir kedaluwarsa.

Alat penandatanganan dari Microsoft memungkinkan pengembang untuk membubuhkan stempel waktu pada saat yang sama saat mereka membubuhkan tanda tangan Authenticode. Stempel waktu memungkinkan tanda tangan Authenticode dapat diverifikasi bahkan setelah sertifikat yang digunakan untuk tanda tangan telah kedaluwarsa.

Saya pikir itu harus bekerja seperti itu! Mungkin laporan bug di Debian?

Masih ada peringatan dengan repo malam
W: GPG error: https://nightly.yarnpkg.com/debian nightly InRelease: The following signatures were invalid: EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]> E: The repository 'https://nightly.yarnpkg.com/debian nightly InRelease' is not signed.

Saya membuat subkunci GPG baru untuk repo malam, tetapi saya mengalami masalah dengan Aptly (#6904) yang membuatnya tidak mungkin untuk menerbitkan ulang repo:/

18:00 daniel<strong i="6">@vps03</strong> /var/www/nightly.yarnpkg.com
% ./update-deb.sh
+ aptly repo add -remove-files=true yarn-nightly ./nightly/deb-incoming/
Loading packages...
+ aptly publish update -gpg-key=4F77679369475BAA nightly yarn-nightly
ERROR: unable to update: local repo with uuid 55ff60af-263a-4df6-8f97-2c09ad7a4995 not found

Ini harus diperbaiki sekarang!

Hai,

masalahnya masih di sini dengan ini di /etc/apt/sources.list.d :

deb https://dl.yarnpkg.com/debian/ stable main

Sunting: sudahlah, mengunduh ulang kunci memperbaikinya. :)

Saya dapat mendukung komentar di atas. Kunci berubah sejak rotasi sebelumnya 9 hari yang lalu dan harus diunduh ulang.

Saya menambahkan subkunci baru untuk build malam, namun seharusnya TIDAK
mempengaruhi repo stabil. Aku harus melihat apa yang terjadi di sini...

Dikirim dari ponsel saya.

Pada Jumat, 11 Januari 2019, 1:37 bvnierop < [email protected] menulis:

Saya dapat mendukung komentar di atas. Kuncinya berubah sejak sebelumnya
rotasi 9 hari yang lalu dan harus diunduh ulang.


Anda menerima ini karena Anda disebutkan.
Balas email ini secara langsung, lihat di GitHub
https://github.com/yarnpkg/yarn/issues/6865#issuecomment-453452379 , atau bisu
benang
https://github.com/notifications/unsubscribe-auth/AEuWKj1tM5EhRflgriBWQ-iOw9gIhmSzks5vCFtngaJpZM4ZmBF5
.

Kuncinya berubah sejak rotasi sebelumnya 9 hari yang lalu

Menyelidiki di https://github.com/yarnpkg/yarn/issues/6916. Saat ini sepertinya bug Aptly: https://github.com/aptly-dev/aptly/issues/805

Saya menyelesaikan di sini dengan perintah:
sudo pkill dirmngr; dirmngr --debug-all --daemon --standard-resolver
sudo apt-key adv --keyserver ha.pool.sks-keyservers.net --recv-keys 4F77679369475BAA
wget https://yum.dockerproject.org/gpg
sudo apt-key tambahkan gpg

Kunci yang direvisi yang saya unduh 4 hari yang lalu (termasuk subkunci baru) berhenti berfungsi lagi hari ini.

Maaf tentang itu... Seharusnya tidak apa-apa sekarang. Itu dilacak di #6916.

Saya memiliki dasbor yang memantau tanggal kedaluwarsa utama sekarang: https://dash.d.sb/d/0PYZ8W_iz/yarn dan akan mengonfigurasi pemantauan untuk itu.

kadaluarsa lagi.

The following signatures were invalid: EXPKEYSIG 23E7166788B63E1E Yarn Packaging <[email protected]>

curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -

memecahkan masalah

Saya memperpanjang kedaluwarsa beberapa minggu yang lalu, tetapi Anda perlu memperbaruinya secara manual karena saya belum mengonfigurasinya ke pembaruan otomatis. Lihat #7866

Apakah halaman ini membantu?
0 / 5 - 0 peringkat

Masalah terkait

FLGMwt picture FLGMwt  ·  3Komentar

MunifTanjim picture MunifTanjim  ·  3Komentar

ocolot picture ocolot  ·  3Komentar

chiedo picture chiedo  ·  3Komentar

torifat picture torifat  ·  3Komentar