ProHoster > Блог > internet vijesti > Padovi u OpenBSD, DragonFly BSD i Electron zbog zastarjelog IdenTrust root certifikata

Padovi u OpenBSD, DragonFly BSD i Electron zbog zastarjelog IdenTrust root certifikata

Zastarjelost korijenskog certifikata IdenTrust (DST Root CA X3), koji se koristi za unakrsno potpisivanje Let's Encrypt CA root certifikata, uzrokovao je probleme s verifikacijom certifikata Let's Encrypt u projektima koji koriste starije verzije OpenSSL-a i GnuTLS-a. Problemi su uticali i na LibreSSL biblioteku, čiji programeri nisu uzeli u obzir prošlo iskustvo povezano sa kvarovima koji su se pojavili nakon što je AddTrust root sertifikat Sectigo (Comodo) CA postao zastareo.

Podsjetimo se da je u OpenSSL izdanjima do grane 1.0.2 uključujući i GnuTLS prije izdanja 3.6.14 postojala greška koja nije dozvoljavala ispravnu obradu unakrsno potpisanih certifikata ako je jedan od korijenskih certifikata korištenih za potpisivanje zastario , čak i ako su ostali važeći sačuvani lanci povjerenja (u slučaju Let's Encrypt, zastarjelost korijenskog certifikata IdenTrust sprječava verifikaciju, čak i ako sistem ima podršku za Let's Encrypt vlastiti root certifikat, koji vrijedi do 2030.). Suština greške je u tome što su starije verzije OpenSSL-a i GnuTLS-a analizirale certifikat kao linearni lanac, dok prema RFC 4158, certifikat može predstavljati usmjereni distribuirani kružni graf s višestrukim sidrima povjerenja koje treba uzeti u obzir.

Kao zaobilazno rešenje za rešavanje kvara, predlaže se brisanje „DST Root CA X3” sertifikata iz sistemske memorije (/etc/ca-certificates.conf i /etc/ssl/certs), a zatim pokretanje naredbe „update -ca-certifikati -f -v” "). Na CentOS-u i RHEL-u možete dodati “DST Root CA X3” certifikat na crnu listu: dump povjerenja —filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust ekstrakt

Neki od padova koje smo vidjeli koji su se dogodili nakon što je IdenTrust root certifikat istekao:

  • U OpenBSD-u, uslužni program syspatch, koji se koristi za instaliranje ažuriranja binarnog sistema, je prestao da radi. OpenBSD projekat je danas hitno objavio zakrpe za grane 6.8 i 6.9 koje rješavaju probleme u LibreSSL-u s provjerom unakrsno potpisanih certifikata, jedan od korijenskih certifikata u lancu povjerenja je istekao. Kao rješenje za problem, preporučuje se prebacivanje sa HTTPS-a na HTTP u /etc/installurl (ovo ne ugrožava sigurnost, jer se ažuriranja dodatno provjeravaju digitalnim potpisom) ili odabir alternativnog ogledala (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Također možete ukloniti DST Root CA X3 root certifikat iz /etc/ssl/cert.pem datoteke.
  • U DragonFly BSD-u slični problemi se uočavaju pri radu sa DPortovima. Prilikom pokretanja pkg menadžera paketa, pojavljuje se greška verifikacije certifikata. Ispravka je dodana danas u master, DragonFly_RELEASE_6_0 i DragonFly_RELEASE_5_8 grane. Kao rješenje, možete ukloniti DST Root CA X3 certifikat.
  • Proces provjere Let's Encrypt certifikata u aplikacijama baziranim na Electron platformi je prekinut. Problem je rešen u ažuriranjima 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Neke distribucije imaju problema s pristupom spremištima paketa kada koriste APT upravitelj paketa povezan sa starijim verzijama GnuTLS biblioteke. Problem je zahvatio Debian 9, koji je koristio nezakrpljen GnuTLS paket, što je dovelo do problema pri pristupu deb.debian.org za korisnike koji nisu instalirali ažuriranje na vrijeme (ponuđen je popravak gnutls28-3.5.8-5+deb9u6 17. septembra). Kao zaobilazno rješenje, preporučuje se uklanjanje DST_Root_CA_X3.crt iz /etc/ca-certificates.conf datoteke.
  • Rad acme-client-a u distributivnom kompletu za kreiranje OPNsense firewall-a je poremećen, ali programeri nisu uspjeli objaviti zakrpu na vrijeme.
  • Problem je uticao na OpenSSL 1.0.2k paket u RHEL/CentOS 7, ali je prije nedelju dana generisana nadogradnja paketa ca-certificates-7-7.el2021.2.50_72.noarch za RHEL 7 i CentOS 9, iz kojeg je IdenTrust sertifikat je uklonjen, tj. ispoljavanje problema je unapred blokirano. Slično ažuriranje objavljeno je prije nedelju dana za Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 i Ubuntu 18.04. Budući da su ažuriranja objavljeni unaprijed, problem sa provjerom Let's Encrypt certifikata uticao je samo na korisnike starijih grana RHEL/CentOS-a i Ubuntua koji ne instaliraju redovno ažuriranja.
  • Proces verifikacije sertifikata u grpc-u je prekinut.
  • Izgradnja platforme Cloudflare Pages nije uspjela.
  • Problemi u Amazon Web Services (AWS).
  • Korisnici DigitalOceana imaju problema pri povezivanju sa bazom podataka.
  • Netlify cloud platforma je pala.
  • Problemi sa pristupom Xero uslugama.
  • Pokušaj uspostavljanja TLS veze sa Web API-jem usluge MailGun nije uspio.
  • Padovi u verzijama macOS-a i iOS-a (11, 13, 14), na koje teoretski problem ne bi trebao utjecati.
  • Usluge Catchpoint nisu uspjele.
  • Greška pri provjeravanju certifikata prilikom pristupanja PostMan API-ju.
  • Guardian Firewall se srušio.
  • Stranica za podršku monday.com je pokvarena.
  • Platforma Cerb se srušila.
  • Provjera radnog vremena nije uspjela u Google Cloud Monitoringu.
  • Problem sa verifikacijom sertifikata u Cisco Umbrella Secure Web Gateway-u.
  • Problemi pri povezivanju sa proksijima Bluecoat i Palo Alto.
  • OVHcloud ima problema s povezivanjem na OpenStack API.
  • Problemi s generiranjem izvještaja u Shopifyju.
  • Postoje problemi sa pristupom Heroku API-ju.
  • Ledger Live Manager se ruši.
  • Greška u verifikaciji certifikata u Facebook App Developer Tools.
  • Problemi u Sophos SG UTM.
  • Problemi sa verifikacijom sertifikata u cPanelu.

izvor: opennet.ru

Dodajte komentar