La desaparició del certificat arrel d'IdenTrust (DST Root CA X3), que s'utilitza per signar creuament el certificat arrel de Let's Encrypt CA, ha causat problemes amb la verificació del certificat de Let's Encrypt en projectes que utilitzen versions anteriors d'OpenSSL i GnuTLS. Els problemes també van afectar la biblioteca LibreSSL, els desenvolupadors de la qual no van tenir en compte l'experiència passada associada als errors que van sorgir després que el certificat arrel AddTrust de l'autoritat de certificació de Sectigo (Comodo) quedés obsolet.
Recordem que a les versions d'OpenSSL fins a la branca 1.0.2 inclosa i a GnuTLS abans de la versió 3.6.14, hi havia un error que no permetia que els certificats amb signatura creuada es processessin correctament si un dels certificats arrel utilitzats per signar quedava obsolet. , encara que d'altres vàlides es conservessin cadenes de confiança (en el cas de Let's Encrypt, l'obsolescència del certificat arrel d'IdenTrust impedeix la verificació, encara que el sistema tingui suport per al certificat arrel propi de Let's Encrypt, vàlid fins al 2030). L'essència de l'error és que les versions anteriors d'OpenSSL i GnuTLS van analitzar el certificat com una cadena lineal, mentre que, segons RFC 4158, un certificat pot representar un gràfic circular distribuït dirigit amb múltiples ancoratges de confiança que cal tenir en compte.
Com a solució alternativa per resoldre l'error, es proposa suprimir el certificat "DST Root CA X3" de l'emmagatzematge del sistema (/etc/ca-certificates.conf i /etc/ssl/certs) i després executar l'ordre "actualitzar". -ca-certificats -f -v” "). A CentOS i RHEL, podeu afegir el certificat “DST Root CA X3” a la llista negra: trust dump —filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
Alguns dels bloquejos que hem vist que es van produir després que el certificat arrel d'IdenTrust expirés:
- A OpenBSD, la utilitat syspatch, utilitzada per instal·lar actualitzacions binaris del sistema, ha deixat de funcionar. El projecte OpenBSD ha llançat avui de manera urgent pedaços per a les branques 6.8 i 6.9 que solucionen problemes a LibreSSL amb la comprovació de certificats amb signatura creuada, un dels certificats arrel de la cadena de confiança dels quals ha caducat. Com a solució al problema, es recomana canviar d'HTTPS a HTTP a /etc/installurl (això no amenaça la seguretat, ja que les actualitzacions també es verifiquen mitjançant una signatura digital) o seleccionar una rèplica alternativa (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). També podeu eliminar el certificat arrel DST Root CA X3 caducat del fitxer /etc/ssl/cert.pem.
- A DragonFly BSD, s'observen problemes similars quan es treballa amb DPorts. Quan s'inicia el gestor de paquets pkg, apareix un error de verificació del certificat. La correcció s'ha afegit avui a les branques mestres, DragonFly_RELEASE_6_0 i DragonFly_RELEASE_5_8. Com a solució alternativa, podeu eliminar el certificat DST Root CA X3.
- El procés de verificació dels certificats Let's Encrypt a les aplicacions basades en la plataforma Electron està trencat. El problema es va solucionar a les actualitzacions 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Algunes distribucions tenen problemes per accedir als dipòsits de paquets quan utilitzen el gestor de paquets APT associat amb versions anteriors de la biblioteca GnuTLS. Debian 9 es va veure afectat pel problema, que utilitzava un paquet GnuTLS sense pegat, la qual cosa va provocar problemes en accedir a deb.debian.org per als usuaris que no van instal·lar l'actualització a temps (es va oferir la solució gnutls28-3.5.8-5+deb9u6). el 17 de setembre). Com a solució alternativa, es recomana eliminar DST_Root_CA_X3.crt del fitxer /etc/ca-certificates.conf.
- El funcionament d'acme-client al kit de distribució per crear tallafocs OPNsense es va interrompre; el problema es va informar per endavant, però els desenvolupadors no van aconseguir llançar un pedaç a temps.
- El problema va afectar el paquet OpenSSL 1.0.2k a RHEL/CentOS 7, però fa una setmana es va generar una actualització del paquet ca-certificates-7-7.el2021.2.50_72.noarch per a RHEL 7 i CentOS 9, de la qual es va generar IdenTrust s'ha eliminat el certificat, és a dir. la manifestació del problema es va bloquejar per endavant. Fa una setmana es va publicar una actualització similar per a Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 i Ubuntu 18.04. Com que les actualitzacions es van publicar amb antelació, el problema de comprovar els certificats de Let's Encrypt va afectar només els usuaris de branques més antigues de RHEL/CentOS i Ubuntu que no instal·len actualitzacions regularment.
- El procés de verificació del certificat a grpc està trencat.
- La creació de la plataforma Cloudflare Pages ha fallat.
- Problemes amb Amazon Web Services (AWS).
- Els usuaris de DigitalOcean tenen problemes per connectar-se a la base de dades.
- La plataforma al núvol Netlify s'ha estavellat.
- Problemes per accedir als serveis de Xero.
- Un intent d'establir una connexió TLS a l'API web del servei MailGun ha fallat.
- Blocs en versions de macOS i iOS (11, 13, 14), que teòricament no haurien d'haver estat afectats pel problema.
- Els serveis de catchpoint han fallat.
- S'ha produït un error en verificar els certificats en accedir a l'API de PostMan.
- Guardian Firewall ha fallat.
- La pàgina d'assistència de monday.com està trencada.
- La plataforma Cerb s'ha estavellat.
- La comprovació del temps d'activitat ha fallat a Google Cloud Monitoring.
- Problema amb la verificació del certificat a Cisco Umbrella Secure Web Gateway.
- Problemes per connectar-se als servidors intermediaris Bluecoat i Palo Alto.
- OVHcloud té problemes per connectar-se a l'API d'OpenStack.
- Problemes amb la generació d'informes a Shopify.
- Hi ha problemes per accedir a l'API Heroku.
- Ledger Live Manager es bloqueja.
- Error de verificació del certificat a les eines per a desenvolupadors d'aplicacions de Facebook.
- Problemes a Sophos SG UTM.
- Problemes amb la verificació del certificat al cPanel.
Font: opennet.ru