Спыненне дзеяння каранёвага сертыфіката кампаніі IdenTrust (DST Root CA X3), які выкарыстоўваецца для крос-подпісы каранёвага сертыфіката які сведчыць цэнтра Let's Encrypt, прывяло да ўзнікнення праблем з праверкай сертыфікатаў Let's Encrypt у праектах, якія выкарыстоўваюць старыя версіі Open. Праблемы таксама закранулі бібліятэку LibreSSL, распрацоўшчыкі якой не ўлічылі мінулы вопыт, звязаны са збоямі, якія ўзніклі пасля састарэння каранёвага сертыфіката AddTrust які сведчыць цэнтра Sectigo (Comodo).
Нагадаем, што ў выпусках OpenSSL да галінкі 1.0.2 уключна і ў GnuTLS да выпуску 3.6.14, прысутнічала памылка, не якая дазваляла карэктна апрацаваць перакрыжавана-падпісаныя сертыфікаты, у выпадку састарэння аднаго з каранёвых сертыфікатаў, задзейнічаных пры подпісы, нават ланцужкі даверу (у выпадку Let's Encrypt састарванне каранёвага сертыфіката IdenTrust не дазваляе выканаць праверку, нават калі ў сістэме маецца падтрымка ўласнага каранёвага сертыфіката Let's Encrypt, які дзейнічае да 2030 года). Сутнасць памылкі ў тым, што старыя версіі OpenSSL і GnuTLS разбіралі сертыфікат як лінейны ланцужок, у той час як у адпаведнасці з RFC 4158 сертыфікат можа прадстаўляць арыентаваны размеркаваны цыклічны граф з некалькімі якарамі даверу, якія трэба ўлічваць.
У якасці абыходнага шляху ўхілення збою прапануецца выдаліць з сістэмнага сховішча (/etc/ca-certificates.conf і /etc/ssl/certs) сертыфікат "DST Root CA X3", пасля чаго запусціць каманду "update-ca-certificates -f -v »). У CentOS і RHEL можна дадаць сертыфікат "DST Root CA X3" у чорны спіс: trust dump -filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90 %75%ff%c4%15%60%85%89%10» | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
Некаторыя з якія трапіліся на вочы збояў, якія ўзніклі пасля спынення дзеяння каранёвага сертыфіката IdenTrust:
- У OpenBSD перастала працаваць утыліта syspatch, якая ўжываецца для ўсталёўкі бінарных абнаўленняў сістэмы. Праект OpenBSD у экстраным парадку сёння выпусціў патчы для галінак 6.8 і 6.9, якія ліквідуюць у LibreSSL праблемы з праверкай перакрыжавана падпісаных сертыфікатаў, адзін з каранёвых сертыфікатаў у ланцужку даверу ў якіх пратэрмінаваны. У якасці абыходнага рашэння праблемы рэкамендавана ў /etc/installurl пераключыцца з HTTPS на HTTP (бяспекі гэта не пагражае, бо абнаўленні дадаткова верыфікуюцца па лічбавым подпісе) або абраць альтэрнатыўнае люстэрка (ftp.usa.openbsd.org, ftp.hostserver.de, cdn.openbsd.org). Таксама можна выдаліць пратэрмінаваны каранёвы сертыфікат DST Root CA X3 з файла /etc/ssl/cert.pem.
- У DragonFly BSD аналагічныя праблемы назіраюцца пры працы з DPorts. Пры запуску пакетнага мэнэджара pkg выдаецца памылка праверкі сертыфіката. Выпраўленне сёння дададзена ў галінкі master, DragonFly_RELEASE_6_0 і DragonFly_RELEASE_5_8. У якасці абыходнага шляху можна выдаліць сертыфікат DST Root CA X3.
- Парушаны працэс праверкі сертыфікатаў Let's Encrypt у дадатках на базе платформы Electron. Праблема ўхілена ў абнаўленнях 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- У некаторых дыстрыбутывах назіраюцца праблемы з доступам да рэпазітараў пакетаў пры выкарыстанні пакетнага мэнэджара APT, звязанага са старымі версіямі бібліятэкі GnuTLS. Праблеме апынуўся схільны Debian 9, у якім ужываўся невыпраўлены пакет GnuTLS, што прывяло да праблем пры звароце да deb.debian.org у карыстачоў своечасова не ўсталявалых абнаўленні (выпраўленне gnutls28-3.5.8-5+deb9u6 было прапанавана 17 верасня). У якасці абыходнага шляху рашэння праблемы рэкамендавана выдаліць DST_Root_CA_X3.crt з файла /etc/ca-certificates.conf.
- Парушана праца acme-client у дыстрыбутыве для стварэння міжсеткавых экранаў OPNsense, аб праблеме было паведамлена загадзя, але распрацоўшчыкі не паспелі своечасова выпусціць патч.
- Праблема закранала пакет OpenSSL 1.0.2k у RHEL/CentOS 7, але тыдзень таму для RHEL 7 і CentOS 7 было сфарміравана абнаўленне пакета ca-certificates-2021.2.50-72.el7_9.noarch, з якога выдалены сертыфікат IdenTrust, г.зн. праява праблемы загадзя было блакіравана. Аналагічнае абнаўленне тыдзень таму было апублікавана для Ubuntu 16.04/14.04, Ubuntu 21.04/20.04, Ubuntu 18.04/XNUMX, Ubuntu XNUMX/XNUMX і Ubuntu XNUMX/XNUMX. Бо абнаўленні былі выпушчаныя загадзя, праблема з праверкай сертыфікатаў Let's Encrypt кранула толькі карыстачоў старых галінак RHEL/CentOS і Ubuntu, не рэгулярна ўсталёўваюць абнаўленні.
- Парушаны працэс праверкі сертыфікатаў у grpc.
- Збой пры зборцы платформы Cloudflare Pages.
- Праблемы ў Amazon Web Services (AWS).
- Праблемы з падлучэннем да БД у карыстачоў DigitalOcean.
- Збой у працы хмарнай платформы Netlify.
- Праблемы з доступам да сэрвісаў Xero.
- Збой пры спробе ўсталяваць TLS-злучэнне да Web API сэрвісу MailGun.
- Збоі ў версіях macOS і iOS (11, 13, 14), якія тэарэтычныя праблема не павінна была закрануць.
- Збой у сэрвісах Catchpoint.
- Памылка праверкі сертыфікатаў пры доступе да API PostMan.
- Збой у працы Guardian Firewall.
- Парушэнне працы старонкі падтрымкі monday.com.
- Збой у працы платформы Cerb.
- Збой пры праверцы uptime у Google Cloud Monitoring.
- Праблема з праверкай сертыфікатаў у Cisco Umbrella Secure Web Gateway.
- Праблемы з падключэннем да проксі Bluecoat і Palo Alto.
- У OVHcloud узніклі праблемы з падключэннем да OpenStack API.
- Праблемы з генерацыяй справаздач у Shopify.
- Назіраюцца праблемы пры звароце да API Heroku.
- Збой у працы Ledger Live Manager.
- Памылка праверкі сертыфіката ў інструментах для распрацоўшчыкаў дадаткаў для Facebook.
- Праблемы ў Sophos SG UTM.
- Праблемы з праверкай сертыфікатаў у cPanel.
Крыніца: opennet.ru