ProHoster > Blog > internet xəbərləri > Köhnəlmiş IdenTrust kök sertifikatı səbəbindən OpenBSD, DragonFly BSD və Electron-da qəzalar

Köhnəlmiş IdenTrust kök sertifikatı səbəbindən OpenBSD, DragonFly BSD və Electron-da qəzalar

Let's Encrypt CA kök sertifikatını çarpaz imzalamaq üçün istifadə edilən IdenTrust kök sertifikatının (DST Root CA X3) köhnəlməsi OpenSSL və GnuTLS-in köhnə versiyalarından istifadə edən layihələrdə Let's Encrypt sertifikatının yoxlanılması ilə bağlı problemlərə səbəb oldu. Problemlər LibreSSL kitabxanasına da təsir etdi, onun tərtibatçıları Sectigo (Comodo) sertifikat orqanının AddTrust kök sertifikatı köhnəldikdən sonra yaranan uğursuzluqlarla bağlı keçmiş təcrübəni nəzərə almadılar.

Xatırladaq ki, 1.0.2 daxil olmaqla, OpenSSL buraxılışlarında və 3.6.14 buraxılışından əvvəl GnuTLS-də imza üçün istifadə edilən kök sertifikatlardan biri köhnəldiyi təqdirdə çarpaz imzalanmış sertifikatların düzgün işlənməsinə imkan verməyən bir səhv var idi. , digər etibarlı olanlar etibar zəncirlərini qoruyub saxlasa belə (Let's Encrypt vəziyyətində, IdenTrust kök sertifikatının köhnəlməsi, sistemin 2030-cu ilə qədər etibarlı olan Let's Encrypt-in öz kök sertifikatını dəstəklədiyi halda belə, yoxlamanın qarşısını alır). Səhvlərin mahiyyəti ondan ibarətdir ki, OpenSSL və GnuTLS-in köhnə versiyaları sertifikatı xətti zəncir kimi təhlil edir, RFC 4158-ə görə, sertifikat nəzərə alınması lazım olan çoxlu etibar ankerləri ilə istiqamətlənmiş paylanmış dairəvi qrafiki təmsil edə bilər.

Uğursuzluğu aradan qaldırmaq üçün həll yolu kimi, “DST Root CA X3” sertifikatını sistem yaddaşından (/etc/ca-certificates.conf və /etc/ssl/certs) silmək və sonra “güncelleme” əmrini yerinə yetirmək təklif olunur. -ca-sertifikatları -f -v” "). CentOS və RHEL-də siz “DST Root CA X3” sertifikatını qara siyahıya əlavə edə bilərsiniz: etibar dump —filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust çıxarış

IdenTrust kök sertifikatının müddəti bitdikdən sonra müşahidə etdiyimiz bəzi qəzalar:

  • OpenBSD-də binar sistem yeniləmələrini quraşdırmaq üçün istifadə edilən syspatch utiliti fəaliyyətini dayandırdı. OpenBSD layihəsi bu gün təcili olaraq 6.8 və 6.9 filialları üçün LibreSSL-də çarpaz imzalanmış sertifikatların yoxlanılması ilə problemləri həll edən, etibar zəncirindəki kök sertifikatlarından birinin müddəti bitmiş yamaqları buraxdı. Problemin həlli üçün /etc/installurl-də HTTPS-dən HTTP-yə keçid (bu, təhlükəsizliyə təhlükə yaratmır, çünki yeniləmələr əlavə olaraq rəqəmsal imza ilə təsdiqlənir) və ya alternativ güzgü (ftp.usa.openbsd) seçmək tövsiyə olunur. org, ftp.hostserver.de, cdn.openbsd.org). Siz həmçinin vaxtı keçmiş DST Root CA X3 kök sertifikatını /etc/ssl/cert.pem faylından silə bilərsiniz.
  • DragonFly BSD-də Dports ilə işləyərkən oxşar problemlər müşahidə olunur. Pkg paket menecerini işə saldıqda, sertifikatın yoxlanılması xətası görünür. Düzəliş bu gün master, DragonFly_RELEASE_6_0 və DragonFly_RELEASE_5_8 filiallarına əlavə edildi. Çözüm olaraq, DST Root CA X3 sertifikatını silə bilərsiniz.
  • Electron platformasına əsaslanan tətbiqlərdə Let's Encrypt sertifikatlarının yoxlanılması prosesi pozulub. Problem 12.2.1, 13.5.1, 14.1.0, 15.1.0 yeniləmələrində aradan qaldırıldı.
  • GnuTLS kitabxanasının köhnə versiyaları ilə əlaqəli APT paket menecerindən istifadə edərkən bəzi paylanmalarda paket anbarlarına daxil olmaqda problemlər yaranır. Debian 9-a yamaqsız GnuTLS paketindən istifadə edilən problem təsir etdi və bu, yeniləməni vaxtında quraşdırmayan istifadəçilər üçün deb.debian.org saytına daxil olan zaman problemlərə səbəb oldu (gnutls28-3.5.8-5+deb9u6 həlli təklif edildi) 17 sentyabr). Çözüm kimi, DST_Root_CA_X3.crt-ni /etc/ca-certificates.conf faylından silmək tövsiyə olunur.
  • OPNsense firewall yaratmaq üçün paylama dəstində acme-client-in işləməsi pozuldu, problem əvvəlcədən bildirildi, lakin tərtibatçılar vaxtında yamağı buraxa bilmədilər.
  • Problem RHEL/CentOS 1.0.2-də OpenSSL 7k paketinə təsir etdi, lakin bir həftə əvvəl IdenTrust-un istifadə etdiyi RHEL 7 və CentOS 7 üçün ca-sertifikatları-2021.2.50-72.el7_9.noarch paketinə yeniləmə yaradıldı. sertifikat çıxarıldı, yəni. problemin təzahürü əvvəlcədən əngəllənmişdi. Analoji yeniləmə bir həftə əvvəl Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 və Ubuntu 18.04 üçün dərc edilib. Yeniləmələr əvvəlcədən buraxıldığından, Let's Encrypt sertifikatlarının yoxlanılması ilə bağlı problem yalnız RHEL/CentOS və Ubuntu-nun köhnə filiallarının müntəzəm olaraq yeniləmələri quraşdırmayan istifadəçilərinə təsir etdi.
  • grpc-də sertifikatın yoxlanılması prosesi pozuldu.
  • Cloudflare Pages platformasının qurulması uğursuz oldu.
  • Amazon Veb Xidmətlərində (AWS) problemlər.
  • DigitalOcean istifadəçiləri verilənlər bazasına qoşulmaqda problem yaşayırlar.
  • Netlify bulud platforması sıradan çıxıb.
  • Xero xidmətlərinə daxil olmaqda problemlər.
  • MailGun xidmətinin Veb API ilə TLS əlaqəsi yaratmaq cəhdi uğursuz oldu.
  • Problem nəzəri cəhətdən təsirlənməməli olan macOS və iOS versiyalarında (11, 13, 14) qəzalar baş verir.
  • Catchpoint xidmətləri uğursuz oldu.
  • PostMan API-yə daxil olan zaman sertifikatların yoxlanılması xətası.
  • Guardian Firewall qəzaya uğradı.
  • monday.com dəstək səhifəsi pozulub.
  • Cerb platforması qəzaya uğrayıb.
  • Google Bulud Monitorinqində iş vaxtı yoxlanışı alınmadı.
  • Cisco Umbrella Secure Web Gateway-də sertifikatın yoxlanılması ilə bağlı problem.
  • Bluecoat və Palo Alto proksilərinə qoşulma problemləri.
  • OVHcloud-un OpenStack API-yə qoşulmasında problemlər var.
  • Shopify-da hesabatların yaradılması ilə bağlı problemlər.
  • Heroku API-yə daxil olmaqda problemlər var.
  • Ledger Live Manager qəzaya uğradı.
  • Facebook Tətbiq Tərtibatçı Alətlərində sertifikat doğrulama xətası.
  • Sophos SG UTM-də problemlər.
  • CPanel-də sertifikatın yoxlanılması ilə bağlı problemlər.

Mənbə: opennet.ru

Добавить комментарий