Yarn: Instalar o Yarn no Ubuntu 18.04.1 LTS dá erro de assinatura inválida. Possível chave expirada?

Ohh, a chave pode ter expirado hoje! Vou ter que dar uma olhada assim que voltar das férias (mais tarde hoje ou amanhã).

Estamos tendo esse problema a partir de hoje também.

Obrigado por toda sua ajuda @ Daniel15.

@DanBuild De fato: eu também experimento um EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]> ao adicionar o repo e executar apt-get update no trecho debian.

Observe a chave que você fornece:

$ curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | gpg --keyid-format 0xlong                                                                                                                 
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
pub   rsa4096/0x1646B01B86E50310 2016-10-05 [SC]
      72ECF46A56B4AD39C907BBB71646B01B86E50310
uid                             Yarn Packaging <[email protected]>
sub   rsa4096/0x02820C39D50AF136 2016-10-05 [E]
sub   rsa4096/0xD101F7899D41F3C3 2016-10-05 [S] [expired: 2017-10-05]
sub   rsa4096/0x46C2130DFD2497F5 2016-10-30 [S] [expires: 2019-01-01]
sub   rsa4096/0xE074D16EB6FF4DE3 2017-09-10 [S] [expired: 2019-01-01]

Observe que a subchave expirada é precisamente aquela que fez referência ao erro.

@ Daniel15 A chave é válida até 01/01/2019 de acordo com https://github.com/yarnpkg/yarn/issues/4253

Tive o mesmo problema há alguns instantes, parece que era válido até 2018.
e ah ... a propósito, feliz ano novo pessoal, ótimo trabalho na Yarn!

O script de instalação ainda deve funcionar, então você pode usá-lo por enquanto. Vou consertar assim que puder, mas não será até esta noite, pois estou viajando no momento.

Normalmente crio um problema no Github para a rotação de chaves, mas esqueci de fazer isso em 2018. Vou adicionar um lembrete no meu calendário para não me esquecer do próximo ano também.

Como uma correção temporária, adicionar [trusted=yes] removerá o erro GPG:

deb [trusted=yes] https://dl.yarnpkg.com/debian/ stable main

Como uma correção temporária, adicionar [trusted=yes] removerá o erro GPG:

` deb [trusted=yes] https://dl.yarnpkg.com/debian/ stable main

Eu adicionei isso ao meu arquivo /etc/apt/sources.list.d/yarn.list ... mas rodar sudo apt update ainda me dá o erro. Preciso fazer mais alguma coisa?

@daveomcd Acredito que só aparece como um aviso, uma vez que é adicionado, tente executar o sudo apt-get install yarn . Depois disso, foi possível instalar.

Isso causou falhas no meu provisionamento automático (frota local de escalonamento automático aws) quando um retorno de chamada da torre ansible que executou um manual que atualizou o cache e causou falhas de provisionamento. É hora de endurecer meus manuais, tomem cuidado, pessoal!

Eu realmente sinto muito por quebrá-lo. Isso é 100% minha culpa. Eu geralmente crio uma edição do Github para a rotação anual de chaves (veja # 4253 para a edição anterior), mas esqueci de criar uma no ano passado e isso simplesmente escapou da minha mente este ano.

A solução alternativa de @daveomcd é boa. Ainda estou a algumas horas de casa, mas vou girar a chave e publicar a nova o mais rápido possível. Também irei configurar algum monitoramento para recebermos alertas se a chave estiver dentro de 90 dias após a expiração.

Observe que, para sistemas CI, o ideal é que você não instale o Yarn novo em cada compilação. Em vez disso, use uma imagem Docker com todas as suas ferramentas de compilação instaladas. :)

@ Daniel15 Não se preocupe, todos nós apreciamos o tempo que você dedica de forma totalmente voluntária e gratuita à manutenção de software de código-fonte aberto.

Observe que, para sistemas CI, o ideal é que você não instale o Yarn novo em cada compilação. Em vez disso, use uma imagem Docker com todas as suas ferramentas de compilação instaladas. :)

Ou armazená-lo em cache ... Foi assim que resolvi esse problema no Circle CI ... assim, se a instalação do mais novo falhar, ainda terei um fio para voltar.

Acho que o contêiner Node.js do Docker da CircleCI vem com o Yarn pré-instalado.

Enviado do meu telefone.

Na terça-feira, 1º de janeiro de 2019, 16:12, Allan Chappell < notificaçõ[email protected] escreveu:

Observe que, para sistemas CI, o ideal é que você não instale o Yarn novo em
cada construção. Em vez disso, use uma imagem Docker com todas as suas ferramentas de compilação
instalado. :)

Ou armazená-lo em cache ... Foi assim que resolvi esse problema no Circle CI ...
dessa forma, se a instalação do mais novo falhar, ainda terei um fio para voltar.

-
Você está recebendo isso porque foi mencionado.
Responda a este e-mail diretamente, visualize-o no GitHub
https://github.com/yarnpkg/yarn/issues/6865#issuecomment-450767431 ou mudo
o segmento
https://github.com/notifications/unsubscribe-auth/AAFnHUwhfyQicMQpS_8ikFZ5NfcoI1iyks5u-_ligaJpZM4ZmBF5
.

Correto,
e agora, aparentemente, eles têm uma variante de navegadores de nó nos contêineres de PHP também, que também inclui yarn ... o que nem sempre foi o caso ... hora de atualizar algumas tags de contêiner do docker.

Normalmente crio um problema no Github para a rotação de chaves, mas esqueci de fazer isso em 2018. Vou adicionar um lembrete no meu calendário para não me esquecer do próximo ano também.

Eu gostaria de recomendar a expiração da chave em uma data diferente de 1º de janeiro ... dessa forma, se ela expirar, não será durante um período de férias :)

acho que isso pode ter sido relatado antes de janeiro mesmo ..
https://github.com/yarnpkg/yarn/issues/6861

Deve ser corrigido por https://github.com/yarnpkg/releases/commit/0f3e4b26cd64fda47e46d82bf3ab458935deb36a.

Baixe a chave novamente, pois agora contém uma nova subchave:

curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -

A nova subchave expira em 2020-02-02 (obrigado pela sugestão de não usar 1º de janeiro, @jleclanche)

@ Daniel15 Obrigado pelo tempo de resposta rápido, posso confirmar que funciona =)

Sim, acabei de verificar com novas VMs Debian e Ubuntu e verifiquei que está funcionando agora. Obrigado pela sua paciência!

Meu erro aqui foi supor que o apt / dpkg ainda estaria bem com a chave / assinatura mesmo que ela tenha expirado, já que o repo foi assinado enquanto a chave ainda era válida (já que a última atualização foi em novembro). Acho que é isso que o GPG 'vanilla' faz e também funciona no Windows:

As ferramentas de assinatura da Microsoft permitem que os desenvolvedores afixem carimbos de data / hora ao mesmo tempo em que afixam assinaturas Authenticode. O carimbo de data / hora permite que as assinaturas Authenticode sejam verificáveis ​​mesmo depois que os certificados usados ​​para assinatura tenham expirado.

https://docs.microsoft.com/en-us/windows/desktop/seccrypto/time-stamping-authenticode-signatures

Vou continuar criando alguns scripts de monitoramento que nos alertarão quando a chave estiver perigosamente perto de expirar.

As ferramentas de assinatura da Microsoft permitem que os desenvolvedores afixem carimbos de data / hora ao mesmo tempo em que afixam assinaturas Authenticode. O carimbo de data / hora permite que as assinaturas Authenticode sejam verificáveis ​​mesmo depois que os certificados usados ​​para assinatura tenham expirado.

Eu acho que deveria funcionar assim! Provavelmente um relatório de bug no Debian?

Ainda tenho o aviso com o repo noturno
W: GPG error: https://nightly.yarnpkg.com/debian nightly InRelease: The following signatures were invalid: EXPKEYSIG E074D16EB6FF4DE3 Yarn Packaging <[email protected]> E: The repository 'https://nightly.yarnpkg.com/debian nightly InRelease' is not signed.

Eu gerei uma nova subchave GPG para o repo noturno, mas estou tendo problemas com o Aptly (# 6904) que está impossibilitando a republicação do repo: /

18:00 daniel<strong i="6">@vps03</strong> /var/www/nightly.yarnpkg.com
% ./update-deb.sh
+ aptly repo add -remove-files=true yarn-nightly ./nightly/deb-incoming/
Loading packages...
+ aptly publish update -gpg-key=4F77679369475BAA nightly yarn-nightly
ERROR: unable to update: local repo with uuid 55ff60af-263a-4df6-8f97-2c09ad7a4995 not found

Isso deve ser corrigido agora!

Oi,

o problema ainda está aqui com isso no meu /etc/apt/sources.list.d :

deb https://dl.yarnpkg.com/debian/ stable main

Editar: não importa, baixar novamente a chave consertou. :)

Posso apoiar o comentário acima. A chave mudou desde a rotação anterior, 9 dias atrás e teve que ser baixada novamente.

Eu adicionei uma nova subchave para as compilações noturnas, no entanto, isso NÃO deveria ter
afetou o repo estável. Vou ter que ver o que aconteceu aqui ...

Enviado do meu telefone.

Na sexta-feira, 11 de janeiro de 2019, 1h37, bvnierop < [email protected] escreveu:

Posso apoiar o comentário acima. A chave mudou desde o anterior
rotação 9 dias atrás e teve que ser baixado novamente.

-
Você está recebendo isso porque foi mencionado.
Responda a este e-mail diretamente, visualize-o no GitHub
https://github.com/yarnpkg/yarn/issues/6865#issuecomment-453452379 ou mudo
o segmento
https://github.com/notifications/unsubscribe-auth/AEuWKj1tM5EhRflgriBWQ-iOw9gIhmSzks5vCFtngaJpZM4ZmBF5
.

A chave mudou desde a rotação anterior, 9 dias atrás

Investigando em https://github.com/yarnpkg/yarn/issues/6916. Atualmente, parece um bug do Aptly: https://github.com/aptly-dev/aptly/issues/805

Resolvi aqui com os comandos:
sudo pkill dirmngr; dirmngr --debug-all --daemon --standard-resolver
sudo apt-key adv --keyserver ha.pool.sks-keyservers.net --recv-keys 4F77679369475BAA
wget https://yum.dockerproject.org/gpg
sudo apt-key add gpg

A chave revisada que baixei 4 dias atrás (que incluía a nova subchave) parou de funcionar novamente hoje.

Desculpe por isso ... Deve estar tudo bem agora. Isso foi rastreado em # 6916.

Eu tenho um painel monitorando as datas de validade da chave agora: https://dash.d.sb/d/0PYZ8W_iz/yarn e configurarei o monitoramento para ele.

expirou novamente.

The following signatures were invalid: EXPKEYSIG 23E7166788B63E1E Yarn Packaging <[email protected]>

curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -

resolveu o problema

Prolonguei a validade há algumas semanas, mas você precisa atualizá-lo manualmente, pois ainda não o configurei para atualização automática. Veja # 7866