Die verval van die IdenTrust-wortelsertifikaat (DST Root CA X3), wat gebruik word om die Let's Encrypt CA-wortelsertifikaat te kruisonderteken, het probleme veroorsaak met Let's Encrypt-sertifikaatverifikasie in projekte wat ouer weergawes van OpenSSL en GnuTLS gebruik. Probleme het ook die LibreSSL-biblioteek geraak, waarvan die ontwikkelaars nie vorige ondervinding in ag geneem het wat verband hou met mislukkings wat ontstaan het nadat die Sectigo (Comodo)-sertifikaatowerheid se AddTrust-wortelsertifikaat verouderd geraak het nie.
Kom ons onthou dat daar in OpenSSL-vrystellings tot en met tak 1.0.2 en in GnuTLS voor vrystelling 3.6.14 'n fout was wat nie toegelaat het dat kruisondertekende sertifikate korrek verwerk word as een van die wortelsertifikate wat vir ondertekening gebruik word, verouderd geraak het , selfs al was ander geldige vertroueskettings bewaar (in die geval van Let's Encrypt, die veroudering van die IdenTrust-wortelsertifikaat verhoed verifikasie, selfs al het die stelsel ondersteuning vir Let's Encrypt se eie wortelsertifikaat, geldig tot 2030). Die kern van die fout is dat ouer weergawes van OpenSSL en GnuTLS die sertifikaat as 'n lineêre ketting ontleed het, terwyl 'n sertifikaat volgens RFC 4158 'n gerigte verspreide sirkelgrafiek kan verteenwoordig met veelvuldige trustankers wat in ag geneem moet word.
As 'n oplossing om die mislukking op te los, word voorgestel om die "DST Root CA X3"-sertifikaat uit die stelselberging (/etc/ca-certificates.conf en /etc/ssl/certs) te verwyder en dan die opdrag "update" uit te voer -ca-sertifikate -f -v” "). Op CentOS en RHEL kan jy die "DST Root CA X3"-sertifikaat by die swartlys voeg: trust dump —filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust uittreksel
Sommige van die ineenstortings wat ons gesien het wat plaasgevind het nadat die IdenTrust-wortelsertifikaat verval het:
- In OpenBSD het die syspatch-nutsding, wat gebruik word om binêre stelselopdaterings te installeer, opgehou werk. Die OpenBSD-projek het vandag dringend pleisters vir takke 6.8 en 6.9 vrygestel wat probleme in LibreSSL oplos met die nagaan van kruisondertekende sertifikate, waarvan een van die wortelsertifikate in die trustketting verval het. As 'n oplossing vir die probleem, word dit aanbeveel om van HTTPS na HTTP oor te skakel in /etc/installurl (dit bedreig nie sekuriteit nie, aangesien opdaterings addisioneel deur 'n digitale handtekening geverifieer word) of 'n alternatiewe spieël te kies (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Jy kan ook die verstrykte DST Root CA X3 wortelsertifikaat van die /etc/ssl/cert.pem lêer verwyder.
- In DragonFly BSD word soortgelyke probleme waargeneem wanneer daar met DPorts gewerk word. Wanneer die pkg-pakketbestuurder begin word, verskyn 'n sertifikaatverifikasiefout. Die regstelling is vandag by die meester, DragonFly_RELEASE_6_0 en DragonFly_RELEASE_5_8 takke gevoeg. As 'n oplossing kan u die DST Root CA X3-sertifikaat verwyder.
- Die proses om Let's Encrypt-sertifikate te verifieer in toepassings wat op die Electron-platform gebaseer is, is gebreek. Die probleem is opgelos in opdaterings 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Sommige verspreidings het probleme met toegang tot pakketbewaarplekke wanneer die APT-pakketbestuurder gebruik word wat met ouer weergawes van die GnuTLS-biblioteek geassosieer word. Debian 9 is deur die probleem geraak, wat 'n onverwerkte GnuTLS-pakket gebruik het, wat gelei het tot probleme met toegang tot deb.debian.org vir gebruikers wat nie die opdatering betyds geïnstalleer het nie (die gnutls28-3.5.8-5+deb9u6-oplossing is aangebied op 17 September). As 'n oplossing, word dit aanbeveel om DST_Root_CA_X3.crt van die /etc/ca-certificates.conf lêer te verwyder.
- Die werking van acme-kliënt in die verspreidingskit vir die skep van OPNsense-brandmure is ontwrig; die probleem is vooraf aangemeld, maar die ontwikkelaars het nie daarin geslaag om 'n pleister betyds vry te stel nie.
- Die probleem het die OpenSSL 1.0.2k-pakket in RHEL/CentOS 7 beïnvloed, maar 'n week gelede is 'n opdatering van die ca-certificates-7-7.el2021.2.50_72.noarch-pakket vir RHEL 7 en CentOS 9 gegenereer, waaruit die IdenTrust sertifikaat verwyder is, m.a.w. die manifestasie van die probleem is vooraf geblokkeer. 'n Soortgelyke opdatering is 'n week gelede vir Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 en Ubuntu 18.04 gepubliseer. Aangesien die opdaterings vooraf vrygestel is, het die probleem met die nagaan van Let's Encrypt-sertifikate slegs gebruikers van ouer takke van RHEL/CentOS en Ubuntu geraak wat nie gereeld opdaterings installeer nie.
- Die sertifikaatverifikasieproses in grpc is gebreek.
- Cloudflare Pages-platformbou het misluk.
- Kwessies in Amazon Web Services (AWS).
- DigitalOcean-gebruikers het probleme om aan die databasis te koppel.
- Die Netlify-wolkplatform het omgeval.
- Probleme met toegang tot Xero-dienste.
- 'n Poging om 'n TLS-verbinding met die Web API van die MailGun-diens te vestig, het misluk.
- Omval in weergawes van macOS en iOS (11, 13, 14), wat teoreties nie deur die probleem geraak moes word nie.
- Vangpuntdienste het misluk.
- Kon nie sertifikate verifieer tydens toegang tot PostMan API nie.
- Guardian Firewall het omgeval.
- Die monday.com-ondersteuningsbladsy is stukkend.
- Die Cerb-platform het neergestort.
- Optydkontrole het misluk in Google Wolkmonitering.
- Probleem met sertifikaatverifikasie in Cisco Umbrella Secure Web Gateway.
- Probleme om aan Bluecoat- en Palo Alto-gevolmagtigdes te koppel.
- OVHcloud ondervind probleme om aan die OpenStack API te koppel.
- Probleme met die generering van verslae in Shopify.
- Daar is probleme met toegang tot die Heroku API.
- Ledger Live Manager val ineen.
- Sertifikaatverifikasiefout in Facebook-programontwikkelaarnutsgoed.
- Probleme in Sophos SG UTM.
- Probleme met sertifikaatverifikasie in cPanel.
Bron: opennet.ru