Наступні підписи були недійсними: EXPKEYSIG 1397BC53640DB551

Це випуск 952287: [Відгук користувачів - стабільний] Звіти Chrome для Linux не вдалося встановити / оновити через закінчений термін дії підпису GPG

Сьогодні, працюючи aptна всіх моїх машинах, ця помилка дає Google PPA (for google-chrome):

me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh 
[sudo] password for me: 
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease                        
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)                                  
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All snaps up to date.

Уже спробували знову імпортувати ключ GPG за допомогою:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -

Джерело: Програмні сховища Google Linux

EDIT: додайте рядок помилок іспанською мовою для кращої видимості:

Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

EDIT2: та французька (охоплює топ-3 мови ):

Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

Це захист, який ви отримуєте від цих чеків. Ви не хочете оновлювати своє програмне забезпечення зараз, коли щось зіпсовано з кінця Google. Зачекайте, поки вони це виправлять. Не намагайтеся переосмислити, перевстановлюючи ключі, поки не з’явиться офіційне слово, що новий ключ - це рішення.

Мабуть, Google не продовжив термін дії сертифікату підписання ... це повинно було закінчитися сьогодні, і це зробило. https://pgp.surfnet.nl/pks/lookup?op=vindex&fingerprint=on&search=0x7721F63BD38B4796

можливо, Google змінить це сьогодні чи так ... тоді оновлення cert має спрацювати нормально, і все повинно повернутися до нормального.

проблему вирішено Google Abr 12/2019 (Тільки Google Chrome. Тестовано в Ubuntu 18.04.x)

Нічого робити. Репозиторій вже підписаний

Оновити квітня 19/2019:

Команда Google підтвердила, що додаткові виправлення вийшли для інших продуктів Google, які не належать до Chrome

джерело: https://support.google.com/chrome/thread/4032170

Схоже, термін дії ключів підпису Google минув Будьте терплячі та зачекайте, коли вони виправлять (що може потребувати повторного додавання ключа після його виправлення).

Для тих, хто недостатньо терплячий, щоб Google оновив cert ...

ви можете виправити це за допомогою наступних кроків:

1. Завантажте це: https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

(нова версія chrome, ви можете отримати її самостійно, гугл chrome)

2. Закрийте Chrome.
3. Відкрийте "Програмне забезпечення та джерела", перейдіть на вкладку "Джерела"
4. Видаліть (або відключіть, якщо ви хочете пізніше його знову ввімкнути) джерелом Google (введіть свій пароль) і закрийте вікно
5. Дозволити "Програмне забезпечення та джерела" перезавантажувати джерела
6. Увійдіть в Центр програмного забезпечення, перейдіть до "Встановлено"
7. Знайдіть Chrome, видаліть його.
8. Закрийте програмне забезпечення та джерела

9. Відкрити термінал, наберіть:

   sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y

10. Закрийте термінал і перейдіть у папку для завантаження та двічі клацніть файл "google-chrome-stable_current_amd64.deb" (це відкриє Центр програмного забезпечення)

11. Клацніть Встановити

тепер ви можете відкрити хром. усі ваші вкладки та збережені паролі зберігаються.

15 квітня, і я все ще отримую цю помилку зі сховищами Google Earth and Music Manager. Вони впевнені, що приємно проводять цей час.

Ви цього не робите. Потрібно чекати, коли Google відновить їхні ключі та оновлення.

Важливе повідомлення:

Наступні підписи були недійсними: EXPKEYSIG 1397BC53640DB551 ​​Google Inc. (орган, що підписує пакети Linux)

Це означає, що криптографічний підпис недійсний. Джерелом цього може бути атака, неправильна конфігурація чи інший вид технічної проблеми. Примушування вашої системи до оновлення призведе до запуску неперевіреної версії веб-браузера, що може піддавати вас безлічі проблем із безпекою.

джерело

Google повинен оновити там ключ GPG. Однак ви можете позначити джерело боргу як надійне, поки Google не поновить їх ключ:

1. cd /var/lib/apt/lists

2. sudo rm \ dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \ dl.google.com_linux_chrome_deb_dists_stable_Release \ dl.google.com_linux_chrome_deb_dists_stable_Release.gpg

3. додайте trusted=yesу свій /etc/apt/sources.list.d/google-chrome.list файл, щоб він виглядав так:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main

4. apt clean

5. apt update

Ви все ще отримуєте недійсну помилку GPG, але зараз можете її проігнорувати.

ПРИМІТКА . Будьте обережні, оскільки це може спричинити проблеми безпеки в ненадійних мережах, коли в посиланні дебюту джерела не використовується жоден https.

EDIT: Попередження GPG більше не з’являється. Google поновив їх ключ. Якщо ви дотримувались рішення, описаного вище, просто видаліть trusted=yesдеталь, потім apt clean& нарешті apt update. Ви більше не повинні бачити жодної помилки: D

Схоже, як сказав @DooMMasteR, Google дозволив закінчити термін підписання сертифікатів для своїх сховищ Linux , термін дії яких був 12 квітня . @yareckon пояснив, що ця aptпомилка безпеки працює так, як очікувалося, щоб запобігти встановленню погано підписаного програмного забезпечення.

Через 9 годин після публікації випуску Google прозоро фіксував сертифікати для користувачів, які використовують репо Google Chrome . Помилка припинилася після того, як вони поновили сертифікати, поступово також і на інших репортах, що належать Google (Google Earth, Менеджер Google Music ...).

Жодних дій не потрібно (і рекомендується) з боку користувачів, лише чекаючи підписання репост у використанні оновленими ключами.