[comment]: # ({09d7d659-09d7d659}) # 1 Utilizzo dei certificati [comment]: # ({/09d7d659-09d7d659}) [comment]: # ({109d2e4c-685d1488}) #### Panoramica Zabbix può utilizzare certificati RSA in formato PEM, firmati da un'autorità di certificazione (CA) pubblica o interna. La verifica del certificato viene eseguita rispetto a un certificato CA preconfigurato. Facoltativamente, è possibile utilizzare le [Certificate Revocation Lists (CRL)](#certificate-revocation-lists-crl). Ogni componente Zabbix può avere configurato un solo certificato. Per ulteriori informazioni sulla configurazione e sulla gestione di una CA interna, sulla generazione e firma delle richieste di certificato e sulla revoca dei certificati, fare riferimento a tutorial come [OpenSSL PKI Tutorial v2.0](http://pki-tutorial.readthedocs.org/en/latest/). Valutare attentamente e testare le estensioni dei certificati. Per maggiori dettagli, vedere [Limitazioni sull'utilizzo delle estensioni dei certificati X.509 v3](#limitations-on-using-x.509-v3-certificate-extensions). [comment]: # ({/109d2e4c-685d1488}) [comment]: # ({77ce4f81-a572d979}) #### Parametri di configurazione del certificato I seguenti parametri di configurazione sono supportati per la configurazione dei certificati sui componenti Zabbix. |Parameter|Mandatory|Description| |--|-|--------| |*TLSCAFile*|yes|Percorso completo di un file contenente i certificati della CA di livello superiore per la verifica del certificato del peer.
Se si utilizza una catena di certificati con più membri, ordinare i certificati con i certificati delle CA di livello inferiore per primi, seguiti dai certificati delle CA di livello superiore.
I certificati di più CA possono essere inclusi in un unico file.| |*TLSCRLFile*|no|Percorso completo di un file contenente le [Certificate Revocation Lists (CRL)](#certificate-revocation-lists-crl).| |*TLSCertFile*|yes|Percorso completo di un file contenente il certificato.
Se si utilizza una catena di certificati con più membri, ordinare i certificati con il certificato del server, proxy o agent per primo, seguiti dai certificati delle CA di livello inferiore e conclusi dai certificati delle CA di livello superiore.| |*TLSKeyFile*|yes|Percorso completo di un file contenente la chiave privata.
Assicurarsi che questo file sia leggibile solo dall'[utente Zabbix](/manual/installation/install#create-user-account) impostando i diritti di accesso appropriati.| |*TLSServerCertIssuer*|no|Issuer del certificato del server consentito.| |*TLSServerCertSubject*|no|Subject del certificato del server consentito.| [comment]: # ({/77ce4f81-a572d979}) [comment]: # ({bc3e0bad-42dcb9db}) #### Esempi di configurazione Dopo aver configurato i certificati necessari, configurare i componenti Zabbix per utilizzare la crittografia basata su certificati. Di seguito sono riportati i passaggi dettagliati per la configurazione di: - [Zabbix server](#zabbix-server) - [Zabbix proxy](#zabbix-proxy) - [Zabbix agent](#zabbix-agent) [comment]: # ({/bc3e0bad-42dcb9db}) [comment]: # ({72103762-34bcf646}) ##### Zabbix server 1\. Preparare il file del certificato CA. Per verificare i certificati del peer, il server Zabbix deve avere accesso al file contenente i certificati root CA autofirmati di livello superiore. Ad esempio, se sono necessari certificati di due root CA indipendenti, inserirli in un file in `/home/zabbix/zabbix_ca_file.crt`: ```ini Certificate: Data: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: sha1WithRSAEncryption Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA ... Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) ... X509v3 extensions: X509v3 Key Usage: critical Certificate Sign, CRL Sign X509v3 Basic Constraints: critical CA:TRUE ... -----BEGIN CERTIFICATE----- MIID2jCCAsKgAwIBAgIBATANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB .... 9wEzdN8uTrqoyU78gi12npLj08LegRKjb5hFTVmO -----END CERTIFICATE----- Certificate: Data: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: sha1WithRSAEncryption Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA ... Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root2 CA Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) .... X509v3 extensions: X509v3 Key Usage: critical Certificate Sign, CRL Sign X509v3 Basic Constraints: critical CA:TRUE .... -----BEGIN CERTIFICATE----- MIID3DCCAsSgAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQB ... vdGNYoSfvu41GQAR5Vj5FnRJRzv5XQOZ3B6894GY1zY= -----END CERTIFICATE----- ``` 2\. Inserire il certificato/la catena di certificati del server Zabbix in un file, ad esempio in `/home/zabbix/zabbix_server.crt`. Il primo certificato è il certificato del server Zabbix, seguito dal certificato CA intermedio: ```ini Certificate: Data: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: sha1WithRSAEncryption Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA ... Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix server Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) ... X509v3 extensions: X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Basic Constraints: CA:FALSE ... -----BEGIN CERTIFICATE----- MIIECDCCAvCgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixk ... h02u1GHiy46GI+xfR3LsPwFKlkTaaLaL/6aaoQ== -----END CERTIFICATE----- Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: sha1WithRSAEncryption Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Root1 CA ... Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) ... X509v3 extensions: X509v3 Key Usage: critical Certificate Sign, CRL Sign X509v3 Basic Constraints: critical CA:TRUE, pathlen:0 ... -----BEGIN CERTIFICATE----- MIID4TCCAsmgAwIBAgIBAjANBgkqhkiG9w0BAQUFADB+MRMwEQYKCZImiZPyLGQB ... dyCeWnvL7u5sd6ffo8iRny0QzbHKmQt/wUtcVIvWXdMIFJM0Hw== -----END CERTIFICATE----- ``` ::: noteclassic Utilizzare solo gli attributi sopra menzionati sia per i certificati client che per quelli server, per evitare di influire sul processo di verifica del certificato. Ad esempio, OpenSSL potrebbe non riuscire a stabilire una connessione cifrata se vengono utilizzate le estensioni *X509v3 Subject Alternative Name* o *Netscape Cert Type*. Per ulteriori informazioni, vedere [Limitations on using X.509 v3 certificate extensions](#limitations-on-using-x.509-v3-certificate-extensions). ::: 3\. Inserire la chiave privata del server Zabbix in un file, ad esempio in `/home/zabbix/zabbix_server.key`: ```ini -----BEGIN PRIVATE KEY----- MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQC9tIXIJoVnNXDl ... IJLkhbybBYEf47MLhffWa7XvZTY= -----END PRIVATE KEY----- ``` 4\. Modificare i parametri di configurazione TLS nel [file di configurazione del server Zabbix](/manual/appendix/config/zabbix_server): ```ini TLSCAFile=/home/zabbix/zabbix_ca_file.crt TLSCertFile=/home/zabbix/zabbix_server.crt TLSKeyFile=/home/zabbix/zabbix_server.key ``` [comment]: # ({/72103762-34bcf646}) [comment]: # ({04167a1b-54ac87c7}) ##### Zabbix proxy 1\. Preparare i file con i certificati CA di livello superiore, il certificato/la catena di certificati del proxy Zabbix e la chiave privata come descritto nella sezione [Zabbix server](#zabbix-server). Quindi, modificare di conseguenza i parametri `TLSCAFile`, `TLSCertFile` e `TLSKeyFile` nel [file di configurazione del proxy Zabbix](/manual/appendix/config/zabbix_proxy). 2\. Modificare i parametri TLS aggiuntivi nel [file di configurazione del proxy Zabbix](/manual/appendix/config/zabbix_proxy): - Per proxy attivo: `TLSConnect=cert` - Per proxy passivo: `TLSAccept=cert` ::: noteclassic Per migliorare la sicurezza del proxy, è possibile impostare anche i parametri `TLSServerCertIssuer` e `TLSServerCertSubject`. Per ulteriori informazioni, vedere [Limitazione dell'autorità emittente e del soggetto del certificato consentiti](#restricting-allowed-certificate-issuer-and-subject). ::: I parametri TLS nel file di configurazione finale del proxy possono apparire come segue: ```ini TLSConnect=cert TLSAccept=cert TLSCAFile=/home/zabbix/zabbix_ca_file.crt TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSCertFile=/home/zabbix/zabbix_proxy.crt TLSKeyFile=/home/zabbix/zabbix_proxy.key ``` 3\. Configurare la crittografia per questo proxy nel frontend Zabbix: - Andare in: *Administration → Proxies*. - Selezionare il proxy e fare clic sulla scheda *Encryption*. Negli esempi seguenti, i campi *Issuer* e *Subject* sono compilati. Per ulteriori informazioni sul perché e su come utilizzare questi campi, vedere [Limitazione dell'autorità emittente e del soggetto del certificato consentiti](#restricting-allowed-certificate-issuer-and-subject). Per proxy attivo: ![](../../../assets/en/manual/encryption/proxy_active_cert.png){width="600"} Per proxy passivo: ![](../../../assets/en/manual/encryption/proxy_passive_cert.png){width="600"} [comment]: # ({/04167a1b-54ac87c7}) [comment]: # ({e2b2b9c2-d2f8a033}) ##### Zabbix agent 1\. Preparare i file con i certificati CA di livello superiore, il certificato/la catena di certificati di Zabbix agent e la chiave privata come descritto nella sezione [Zabbix server](#zabbix-server). Quindi, modificare di conseguenza i parametri `TLSCAFile`, `TLSCertFile` e `TLSKeyFile` nel [file di configurazione di Zabbix agent](/manual/appendix/config/zabbix_agentd). 2\. Modificare i parametri TLS aggiuntivi nel [file di configurazione di Zabbix agent](/manual/appendix/config/zabbix_agentd): - Per agent attivo: `TLSConnect=cert` - Per agent passivo: `TLSAccept=cert` ::: noteclassic Per migliorare la sicurezza dell'agent, è possibile impostare i parametri `TLSServerCertIssuer` e `TLSServerCertSubject`. Per ulteriori informazioni, vedere [Limitazione dell'emittente e del soggetto del certificato consentiti](#restricting-allowed-certificate-issuer-and-subject). ::: I parametri TLS nel file di configurazione finale dell'agent possono apparire come segue. Si noti che l'esempio presuppone che l'host sia monitorato da un proxy, pertanto questo è specificato come Subject del certificato: ```ini TLSConnect=cert TLSAccept=cert TLSCAFile=/home/zabbix/zabbix_ca_file.crt TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSCertFile=/home/zabbix/zabbix_agentd.crt TLSKeyFile=/home/zabbix/zabbix_agentd.key ``` 3\. Configurare la crittografia in Zabbix frontend per l'host monitorato da questo agent. - Andare in: *Raccolta dati → Host*. - Selezionare l'host e fare clic sulla scheda *Crittografia*. Nell'esempio seguente, i campi *Issuer* e *Subject* sono compilati. Per ulteriori informazioni sul perché e su come utilizzare questi campi, vedere [Limitazione dell'emittente e del soggetto del certificato consentiti](#restricting-allowed-certificate-issuer-and-subject). ![](../../../assets/en/manual/encryption/agent_config.png){width="600"} [comment]: # ({/e2b2b9c2-d2f8a033}) [comment]: # ({47d65781-94a00d14}) ##### Servizio web Zabbix 1\. Preparare i file con i certificati CA di livello superiore, il certificato/la catena di certificati del servizio web Zabbix e la chiave privata come descritto nella sezione [Zabbix server](#zabbix-server). Quindi, modificare i parametri `TLSCAFile`, `TLSCertFile` e `TLSKeyFile` nel [file di configurazione del servizio web Zabbix](/manual/appendix/config/zabbix_web_service) di conseguenza. 2\. Modificare un parametro TLS aggiuntivo nel [file di configurazione del servizio web Zabbix](/manual/appendix/config/zabbix_web_service): `TLSAccept=cert` I parametri TLS nel file di configurazione finale del servizio web possono apparire come segue: ```ini TLSAccept=cert TLSCAFile=/home/zabbix/zabbix_ca_file.crt TLSCertFile=/home/zabbix/zabbix_web_service.crt TLSKeyFile=/home/zabbix/zabbix_web_service.key ``` 3\. Configurare Zabbix server per connettersi al servizio web Zabbix configurato con TLS modificando il parametro `WebServiceURL` nel [file di configurazione di Zabbix server](/manual/appendix/config/zabbix_server): ```ini WebServiceURL=https://example.com:443/report ``` [comment]: # ({/47d65781-94a00d14}) [comment]: # ({70caa4a5-0f34d758}) #### Limitazione dell'autorità emittente e del soggetto del certificato consentiti Quando due componenti Zabbix (ad esempio, server e agent) stabiliscono una connessione TLS, verificano reciprocamente i rispettivi certificati. Se il certificato del peer è firmato da una CA attendibile (con un certificato di livello superiore preconfigurato in `TLSCAFile`), è valido, non è scaduto e supera gli altri controlli, la comunicazione tra i componenti può procedere. In questo caso più semplice, l'autorità emittente e il soggetto del certificato non vengono verificati. Tuttavia, questo comporta un rischio: chiunque disponga di un certificato valido può impersonare chiunque altro (ad esempio, un certificato host potrebbe essere usato per impersonare un server). Sebbene ciò possa essere accettabile in ambienti piccoli, in cui i certificati sono firmati da una CA interna dedicata e il rischio di impersonificazione è basso, potrebbe non essere sufficiente in ambienti più grandi o più sensibili dal punto di vista della sicurezza. Se la CA di livello superiore emette certificati che non dovrebbero essere accettati da Zabbix oppure se si desidera ridurre il rischio di impersonificazione, è possibile limitare i certificati consentiti specificandone l'autorità emittente e il soggetto. Ad esempio, nel file di configurazione di Zabbix proxy, è possibile specificare: ```ini TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSServerCertSubject=CN=Zabbix server,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com ``` Con queste impostazioni, un proxy attivo non comunicherà con un server Zabbix il cui certificato abbia un'autorità emittente o un soggetto diversi. Analogamente, un proxy passivo non accetterà richieste da tale server. [comment]: # ({/70caa4a5-0f34d758}) [comment]: # ({bd9b46b2-5d9c487d}) ##### Regole per la corrispondenza delle stringhe `Issuer` e `Subject` Le regole per la corrispondenza delle stringhe `Issuer` e `Subject` sono le seguenti: - Le stringhe `Issuer` e `Subject` vengono controllate in modo indipendente. Entrambe sono facoltative. - Una stringa non specificata significa che viene accettata qualsiasi stringa. - Le stringhe vengono confrontate *così come sono* e devono corrispondere esattamente. - I caratteri UTF-8 sono supportati. Tuttavia, i caratteri jolly (`*`) o le espressioni regolari non sono supportati. - Sono implementati i seguenti requisiti di [RFC 4514](http://tools.ietf.org/html/rfc4514) - caratteri che richiedono l'escape (con una barra rovesciata '`\`', U+005C): - in qualsiasi punto della stringa: '`"`' (U+0022), '`+`' (U+002B), '`,`' (U+002C), '`;`' (U+003B), '`<`' (U+003C), '`>`' (U+003E), '`\\`' (U+005C); - all'inizio della stringa: spazio (' ', U+0020) o cancelletto ('`#`', U+0023); - alla fine della stringa: spazio (' ', U+0020). - I caratteri nulli (U+0000) non sono supportati. Se viene rilevato un carattere nullo, la corrispondenza non riuscirà. - Gli standard [RFC 4517](http://tools.ietf.org/html/rfc4517) e [RFC 4518](http://tools.ietf.org/html/rfc4518) non sono supportati. Ad esempio, se le stringhe dell'organizzazione (`O`) di `Issuer` e `Subject` contengono spazi finali e la stringa dell'unità organizzativa (`OU`) di `Subject` contiene virgolette doppie, questi caratteri devono essere preceduti da escape: ```ini TLSServerCertIssuer=CN=Signing CA,OU=Development head,O=\ Example SIA\ ,DC=example,DC=com TLSServerCertSubject=CN=Zabbix server,OU=Development group \"5\",O=\ Example SIA\ ,DC=example,DC=com ``` [comment]: # ({/bd9b46b2-5d9c487d}) [comment]: # ({630eea16-f61c7ebf}) ##### Ordine e formattazione dei campi Zabbix segue le raccomandazioni di [RFC 4514](http://tools.ietf.org/html/rfc4514), che specifica un ordine "inverso" per questi campi, iniziando dai campi di livello più basso (`CN`), passando ai campi di livello intermedio (`OU`, `O`) e concludendo con i campi di livello più alto (`DC`). ```ini TLSServerCertIssuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com TLSServerCertSubject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com ``` Al contrario, OpenSSL per impostazione predefinita visualizza le stringhe `Issuer` e `Subject` nell'ordine dal livello più alto a quello più basso. Nell'esempio seguente, i campi `Issuer` e `Subject` iniziano dal livello più alto (`DC`) e terminano con il campo di livello più basso (`CN`). Anche la formattazione con spazi e separatori di campo varia in base alle opzioni utilizzate e quindi non corrisponderà al formato richiesto da Zabbix. ```bash $ openssl x509 -noout -in /home/zabbix/zabbix_proxy.crt -issuer -subject issuer= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Signing CA subject= /DC=com/DC=zabbix/O=Zabbix SIA/OU=Development group/CN=Zabbix proxy $ openssl x509 -noout -text -in /home/zabbix/zabbix_proxy.crt Certificate: ... Issuer: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Signing CA ... Subject: DC=com, DC=zabbix, O=Zabbix SIA, OU=Development group, CN=Zabbix proxy ``` Per formattare correttamente le stringhe *Issuer* e *Subject* per Zabbix, eseguire OpenSSL con le seguenti opzioni: ```bash $ openssl x509 -noout -issuer -subject \ -nameopt esc_2253,esc_ctrl,utf8,dump_nostr,dump_unknown,dump_der,sep_comma_plus,dn_rev,sname\ -in /home/zabbix/zabbix_proxy.crt ``` L'output sarà quindi in ordine inverso, separato da virgole e utilizzabile nei file di configurazione di Zabbix e nel frontend: ```bash issuer=CN=Signing CA,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com subject=CN=Zabbix proxy,OU=Development group,O=Zabbix SIA,DC=zabbix,DC=com ``` [comment]: # ({/630eea16-f61c7ebf}) [comment]: # ({cb3afa18-29732466}) #### Limitazioni nell'utilizzo delle estensioni dei certificati X.509 v3 Quando si implementano certificati X.509 v3 in Zabbix, alcune estensioni potrebbero non essere pienamente supportate oppure potrebbero causare comportamenti incoerenti. **Estensione Subject Alternative Name** Zabbix non supporta l'estensione *Subject Alternative Name*, utilizzata per specificare nomi DNS alternativi come indirizzi IP o indirizzi email. Zabbix può convalidare solo il valore nel campo *Subject* del certificato (vedere [Restricting Allowed Certificate Issuer and Subject](#restricting-allowed-certificate-issuer-and-subject)). Se i certificati includono il campo `subjectAltName`, il risultato della convalida del certificato può variare a seconda degli specifici toolkit crittografici utilizzati per compilare i componenti di Zabbix. Di conseguenza, Zabbix può accettare o rifiutare i certificati in base a queste combinazioni. **Estensione Extended Key Usage** Zabbix supporta l'estensione *Extended Key Usage*. Tuttavia, se utilizzata, in genere è richiesto che siano specificati entrambi gli attributi *clientAuth* (per l'autenticazione client TLS WWW) e *serverAuth* (per l'autenticazione server TLS WWW). Ad esempio: - Nei controlli passivi, in cui Zabbix agent opera come server TLS, l'attributo *serverAuth* deve essere incluso nel certificato dell'agent. - Per i controlli attivi, in cui l'agent opera come client TLS, l'attributo *clientAuth* deve essere incluso nel certificato dell'agent. Sebbene GnuTLS possa emettere un avviso per violazioni dell'utilizzo della chiave, in genere consente comunque alla comunicazione di procedere nonostante tali avvisi. **Estensione Name Constraints** Il supporto per l'estensione *Name Constraints* varia tra i toolkit crittografici. Assicurarsi che il toolkit scelto supporti questa estensione. Questa estensione può impedire a Zabbix di caricare i certificati CA se questa sezione è contrassegnata come critica, a seconda dello specifico toolkit in uso. [comment]: # ({/cb3afa18-29732466}) [comment]: # ({1be6201b-35b25767}) #### Liste di revoca dei certificati (CRL) Se un certificato è compromesso, l'Autorità di certificazione (CA) può revocarlo includendo il certificato in una Lista di revoca dei certificati (CRL). Le CRL sono gestite tramite file di configurazione e possono essere specificate usando il parametro `TLSCRLFile` nei file di configurazione di server, proxy e agent. Ad esempio: ```ini TLSCRLFile=/home/zabbix/zabbix_crl_file.crt ``` In questo caso, `zabbix_crl_file.crt` può contenere CRL di più CA e potrebbe apparire così: ```ini -----BEGIN X509 CRL----- MIIB/DCB5QIBATANBgkqhkiG9w0BAQUFADCBgTETMBEGCgmSJomT8ixkARkWA2Nv ... treZeUPjb7LSmZ3K2hpbZN7SoOZcAoHQ3GWd9npuctg= -----END X509 CRL----- -----BEGIN X509 CRL----- MIIB+TCB4gIBATANBgkqhkiG9w0BAQUFADB/MRMwEQYKCZImiZPyLGQBGRYDY29t ... CAEebS2CND3ShBedZ8YSil59O6JvaDP61lR5lNs= -----END X509 CRL----- ``` Il file CRL viene caricato solo all'avvio di Zabbix. Per aggiornare la CRL, riavviare Zabbix. ::: noteimportant Se i componenti Zabbix sono compilati con OpenSSL e vengono utilizzate le CRL, assicurarsi che ogni CA di primo livello e intermedia nelle catene di certificati abbia una CRL corrispondente (anche se vuota) inclusa nel `TLSCRLFile`. ::: [comment]: # ({/1be6201b-35b25767})