የመታሰቢያው ስርጭቱ ሰርቲፊኬት (DSER CAS X3), የ CAS ስርወጫ የምስክር ወረቀት ለማስተካከል ያገለገለው የ CAP ስርወጫ ሰርቲፊኬት እናድርግኖች የ Opsslsl እና Gntls ስሪቶችን በመጠቀም የሙዚቃ ማረጋገጫዎችን እንዲመስል ያደርጋል. ችግሮች በLibreSSL ቤተ-መጽሐፍት ላይም ተጽዕኖ አሳድረዋል፣ የነሱ ገንቢዎች የሴክቲጎ (ኮሞዶ) CA የአድ ትረስት ስርወ ሰርተፍኬት ጊዜ ያለፈበት ከሆነ በኋላ ከተከሰቱ ውድቀቶች ጋር የተገናኘ ያለፈውን ልምድ ከግምት ውስጥ አላስገቡም።
በOpenSSL ላይ እስከ ቅርንጫፍ 1.0.2 አካታች እና በGnuTLS 3.6.14 ከመለቀቁ በፊት፣ ለመፈረም ጥቅም ላይ ከሚውሉት ስር ሰርተፊኬቶች ውስጥ አንዱ ጊዜው ያለፈበት ከሆነ የተሻገሩ የምስክር ወረቀቶች በትክክል እንዲሰሩ ያልፈቀደ ስህተት እንደነበረ እናስታውስ። ምንም እንኳን ሌሎች ትክክለኛዎቹ ተጠብቀው የነበሩ የመተማመን ሰንሰለቶች ቢሆኑም (በእኛ ኢንክሪፕት እንስጥር ከሆነ፣ የIdenTrust root ሰርተፍኬት ጊዜው ያለፈበት መሆኑ ማረጋገጥን ይከለክላል፣ ምንም እንኳን ስርዓቱ እስከ 2030 ድረስ የሚሰራው የኑ ኢንክሪፕት ሰርተፍኬት ድጋፍ ቢኖረውም)። የሳንካው ፍሬ ነገር የቆዩ የOpenSSL እና GnuTLS ስሪቶች የእውቅና ማረጋገጫውን እንደ መስመራዊ ሰንሰለት ሲተነተን ነው፣ በ RFC 4158 መሰረት፣ ሰርቲፊኬቱ ከግምት ውስጥ መግባት ያለባቸውን በርካታ የእምነት መልህቆች ያሉት ዳይሬክት የተደረገ ክብ ግራፍ ሊወክል ይችላል።
ስህተቱን ለመፍታት እንደ መፍትሄ የ "DST Root CA X3" የምስክር ወረቀት ከስርዓት ማከማቻው (/etc/ca-certificates.conf እና /etc/ssl/certs) ለመሰረዝ እና ከዚያ "አዘምን" የሚለውን ትዕዛዙን ያሂዱ. -ca-ሰርቲፊኬቶች -f -v”))። በCentOS እና RHEL ላይ የ"DST Root CA X3" ሰርተፍኬት ወደ ጥቁር መዝገብ ማከል ይችላሉ፡ trust dump —filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
አንዳንድ ያየናቸው ብልሽቶች የIdenTrust root ሰርተፍኬት ጊዜው ካለፈ በኋላ የተከሰቱ ናቸው፡
- በOpenBSD ውስጥ፣ የሁለትዮሽ ስርዓት ዝመናዎችን ለመጫን የሚያገለግለው የ syspatch utility መስራት አቁሟል። የOpenBSD ፕሮጀክት ዛሬ በሊብሬኤስኤል ያሉትን ችግሮች የሚያስተካክሉ ቅርንጫፍ 6.8 እና 6.9 ጥገናዎችን በአቋራጭ የተፈረሙ የምስክር ወረቀቶችን በማጣራት አስቸኳይ አቅርቧል። ለችግሩ መፍትሄ ከኤችቲቲፒኤስ ወደ ኤችቲቲፒ በ/etc/installurl ለመቀየር ይመከራል (ይህ ለደህንነት ስጋት የለውም፣ ምክንያቱም ዝመናዎች በተጨማሪ በዲጂታል ፊርማ የተረጋገጡ ናቸው) ወይም አማራጭ መስታወት ይምረጡ (ftp.usa.openbsd. org፣ ftp.hostserver.de፣ cdn.openbsd.org)። እንዲሁም ጊዜው ያለፈበትን DST Root CA X3 ስርወ ሰርተፍኬት ከ/etc/ssl/cert.pem ፋይል ማስወገድ ይችላሉ።
- በ DragonFly BSD ውስጥ ከ DPorts ጋር ሲሰሩ ተመሳሳይ ችግሮች ይስተዋላሉ። የpkg ጥቅል አስተዳዳሪን ሲጀምሩ የምስክር ወረቀት ማረጋገጫ ስህተት ይታያል። ማስተካከያው ዛሬ ወደ ዋና፣ DragonFly_RELEASE_6_0 እና DragonFly_RELEASE_5_8 ቅርንጫፎች ታክሏል። እንደ መፍትሄ የDST Root CA X3 ሰርተፍኬትን ማስወገድ ይችላሉ።
- በኤሌክትሮን መድረክ ላይ ተመስርተው በመተግበሪያዎች ውስጥ የምስክር ወረቀቶችን እናመስጥርን የማረጋገጥ ሂደት ተበላሽቷል። ችግሩ በዝማኔዎች 12.2.1, 13.5.1, 14.1.0, 15.1.0 ተስተካክሏል.
- አንዳንድ ስርጭቶች ከ GnuTLS ቤተ-መጽሐፍት የቆዩ ስሪቶች ጋር የተጎዳኘውን የAPT ጥቅል አስተዳዳሪ ሲጠቀሙ የጥቅል ማከማቻዎችን የመድረስ ችግር አለባቸው። Debian 9 በችግሩ ተጎድቷል፣ ያልታሸገ የGnuTLS ጥቅል ተጠቅሟል፣ ይህም በጊዜው ዝመናውን ላልጫኑ ተጠቃሚዎች deb.debian.org ሲደርሱ ችግር አስከትሏል (የ gnutls28-3.5.8-5+deb9u6 ማስተካከያ ቀርቧል። በሴፕቴምበር 17) እንደ መፍትሄ፣ DST_Root_CA_X3.crtን ከ/etc/ca-certificates.conf ፋይል ለማስወገድ ይመከራል።
- የ OPNsense ፋየርዎልን ለመፍጠር በማከፋፈያው ኪት ውስጥ ያለው የ acme-client አሠራር ተስተጓጉሏል፣ ችግሩ አስቀድሞ ሪፖርት ተደርጓል፣ ነገር ግን ገንቢዎቹ በጊዜው ፕላስተር ለመልቀቅ አልቻሉም።
- ችግሩ በ RHEL/CentOS 1.0.2 የOpenSSL 7k ፓኬጅ ላይ ተጽዕኖ አሳድሯል፣ነገር ግን ከሳምንት በፊት የca-certificates-7-7.el2021.2.50_72.noarch ጥቅል ለ RHEL 7 እና CentOS 9 ዝማኔ ተፈጥሯል፣ ከዚም IdenTrust የምስክር ወረቀት ተወግዷል፣ ማለትም. የችግሩ መገለጫ አስቀድሞ ታግዷል። ተመሳሳይ ዝመና ለኡቡንቱ 16.04፣ ኡቡንቱ 14.04፣ ኡቡንቱ 21.04፣ ኡቡንቱ 20.04 እና ኡቡንቱ 18.04 ከሳምንት በፊት ታትሟል። ማሻሻያዎቹ አስቀድሞ ስለወጡ፣ የምስክር ወረቀቶችን እናመስጥርን የመፈተሽ ችግር የነካው የቆዩ የ RHEL/CentOS እና የኡቡንቱ ቅርንጫፎች አዘውትረው ዝመናዎችን የማይጭኑ ተጠቃሚዎችን ብቻ ነው።
- በ grpc ውስጥ ያለው የምስክር ወረቀት ማረጋገጫ ሂደት ተሰብሯል።
- የCloudflare ገጾች መድረክ ግንባታ አልተሳካም።
- በአማዞን ድር አገልግሎቶች (AWS) ውስጥ ያሉ ጉዳዮች።
- የዲጂታል ውቅያኖስ ተጠቃሚዎች ከመረጃ ቋቱ ጋር የመገናኘት ችግር አለባቸው።
- የNetlify ደመና መድረክ ተበላሽቷል።
- የ Xero አገልግሎቶችን ማግኘት ላይ ችግሮች።
- ከMailGun አገልግሎት የድር ኤፒአይ ጋር የቲኤልኤስ ግንኙነት ለመመስረት የተደረገ ሙከራ አልተሳካም።
- በማክሮስ እና አይኦኤስ (11፣ 13፣14) ስሪቶች ላይ ብልሽቶች፣ በንድፈ ሀሳብ በችግሩ መነካካት አልነበረበትም።
- የCatchpoint አገልግሎቶች አልተሳኩም።
- PostMan ኤፒአይን ሲደርሱ የምስክር ወረቀቶችን ማረጋገጥ ላይ ስህተት።
- ጠባቂ ፋየርዎል ወድቋል።
- monday.com የድጋፍ ገጽ ተሰብሯል።
- የሰርብ መድረክ ተበላሽቷል።
- በጉግል ክላውድ ክትትል ውስጥ የሰዓት ፍተሻ አልተሳካም።
- በ Cisco Umbrella Secure Web Gateway ውስጥ የእውቅና ማረጋገጫ ያለው ጉዳይ።
- ከብሉኮት እና ከፓሎ አልቶ ፕሮክሲዎች ጋር የመገናኘት ችግሮች።
- OVHcloud ከOpenStack API ጋር መገናኘት ላይ ችግሮች እያጋጠሙት ነው።
- በ Shopify ውስጥ ሪፖርቶችን በማመንጨት ላይ ችግሮች።
- የHeroku APIን ማግኘት ላይ ችግሮች አሉ።
- Ledger Live Manager ተሰናክሏል።
- በፌስቡክ መተግበሪያ ገንቢ መሳሪያዎች ውስጥ የምስክር ወረቀት ማረጋገጫ ስህተት።
- በሶፎስ SG UTM ውስጥ ያሉ ችግሮች.
- በ cPanel ውስጥ የምስክር ወረቀት ማረጋገጫ ላይ ችግሮች።
ምንጭ: opennet.ru