A deprecazione di u certificatu radice IdenTrust (DST Root CA X3), utilizatu per firmà incruciate u certificatu radice Let's Encrypt CA, hà causatu prublemi cù a verificazione di certificatu Let's Encrypt in prughjetti chì utilizanu versioni più vechje di OpenSSL è GnuTLS. I prublemi anu affettatu ancu a libreria LibreSSL, chì i sviluppatori ùn anu micca cunsideratu l'esperienza passata assuciata à i fallimenti chì sò ghjunti dopu chì u certificatu radicale AddTrust di Sectigo (Comodo) CA hè diventatu obsolet.
Ricordemu chì in e versioni OpenSSL finu à a branche 1.0.2 inclusa è in GnuTLS prima di a liberazione 3.6.14, ci era un bug chì ùn permette micca chì i certificati firmati incruciati esse processati currettamente se unu di i certificati radice utilizati per a firma hè diventatu obsoletu. , ancu s'è l'altri validi sò stati cunservati catene di fiducia (in u casu di Let's Encrypt, l'obsolescenza di u certificatu di a radica IdenTrust impedisce a verificazione, ancu s'ellu u sistema hà supportu per u certificatu di a radica di Let's Encrypt, validu finu à u 2030). L'essenza di l'errore hè chì e versioni più vechje di OpenSSL è GnuTLS anu analizatu u certificatu cum'è una catena lineale, mentre chì secondu RFC 4158, un certificatu pò rapprisintà un gràficu circular distribuitu direttu cù parechje ancore di fiducia chì deve esse cunsideratu.
Cum'è una soluzione per risolve u fallimentu, hè prupostu di sguassà u certificatu "DST Root CA X3" da l'almacenamiento di u sistema (/etc/ca-certificates.conf è /etc/ssl/certs), è poi eseguite u cumandimu "update". -ca-certificates -f -v" "). In CentOS è RHEL, pudete aghjunghje u certificatu "DST Root CA X3" à a lista negra: trust dump -filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
Alcuni di i crash chì avemu vistu chì sò accaduti dopu à u certificatu radice IdenTrust scadutu:
- In OpenBSD, l'utilità syspatch, utilizata per installà l'aghjurnamenti di u sistema binari, hà cessatu di travaglià. U prughjettu OpenBSD hà liberatu oghje patch urgente per i rami 6.8 è 6.9 chì risolve i prublemi in LibreSSL cù a verificazione di i certificati firmati incruciati, unu di i certificati radicali in a catena di fiducia di quale hè scadutu. Cum'è una soluzione per u prublema, hè cunsigliatu di passà da HTTPS à HTTP in /etc/installurl (questu ùn minaccia micca a sicurità, postu chì l'aghjurnamenti sò verificati in più da una firma digitale) o selezziunate un specchiu alternativu (ftp.usa.openbsd). org, ftp.hostserver.de, cdn.openbsd.org). Pudete ancu sguassà u certificatu radice DST Root CA X3 scadutu da u schedariu /etc/ssl/cert.pem.
- In DragonFly BSD, i prublemi simili sò osservati quandu u travagliu cù DPorts. Quandu si principia u gestore di pacchetti pkg, appare un errore di verificazione di certificatu. A correzione hè stata aghjunta oghje à u maestru, DragonFly_RELEASE_6_0 è DragonFly_RELEASE_5_8 branch. Comu solu solu, pudete sguassà u certificatu DST Root CA X3.
- U prucessu di verificà i certificati Let's Encrypt in applicazioni basate nantu à a piattaforma Electron hè rottu. U prublema hè stata risolta in l'aghjurnamenti 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Alcune distribuzioni anu prublemi à accede à i repositori di pacchetti quandu utilizanu u gestore di pacchetti APT assuciatu cù versioni più vechje di a biblioteca GnuTLS. Debian 9 hè stata affettata da u prublema, chì hà utilizatu un pacchettu GnuTLS senza patch, chì hà purtatu à prublemi à l'accessu à deb.debian.org per l'utilizatori chì ùn anu micca stallatu l'aghjurnamentu à tempu (a correzione gnutls28-3.5.8-5+deb9u6 hè stata offerta. u 17 settembre). Comu solu solu, hè cunsigliatu di sguassà DST_Root_CA_X3.crt da u schedariu /etc/ca-certificates.conf.
- L'operazione di acme-client in u kit di distribuzione per creà firewalls OPNsense hè stata disrupta u prublema hè statu infurmatu in anticipu, ma i sviluppatori ùn anu micca riisciutu à liberà un patch in u tempu.
- U prublema hà affettatu u pacchettu OpenSSL 1.0.2k in RHEL / CentOS 7, ma una settimana fà una aghjurnazione à u pacchettu ca-certificates-7-7.el2021.2.50_72.noarch hè stata generata per RHEL 7 è CentOS 9, da quale l'IdenTrust. certificatu hè statu eliminatu, i.e. a manifestazione di u prublema hè stata bluccata in anticipu. Un aghjurnamentu simili hè statu publicatu una settimana fà per Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 è Ubuntu 18.04. Siccomu l'aghjurnamenti sò stati liberati in anticipu, u prublema cù a verificazione di i certificati Let's Encrypt hà affettatu solu l'utilizatori di rami più antichi di RHEL / CentOS è Ubuntu chì ùn stallanu micca regularmente l'aghjurnamenti.
- U prucessu di verificazione di u certificatu in grpc hè rottu.
- A creazione di a piattaforma Cloudflare Pages hà fiascatu.
- Prublemi cù Amazon Web Services (AWS).
- L'utilizatori di DigitalOcean anu prublemi per cunnette à a basa di dati.
- A piattaforma di nuvola Netlify hè cascata.
- Problemi à accede à i servizii Xero.
- Un tentativu di stabilisce una cunnessione TLS à l'API Web di u serviziu MailGun falliu.
- Crashes in versioni di macOS è iOS (11, 13, 14), chì teoricamente ùn deve esse micca affettatu da u prublema.
- I servizii di catchpoint fiascatu.
- Errore durante a verificazione di i certificati quandu accede à l'API PostMan.
- Guardian Firewall hè cascatu.
- A pagina di supportu di monday.com hè rotta.
- A piattaforma Cerb hè cascata.
- A verificazione di uptime hà fiascatu in Google Cloud Monitoring.
- Issue cù a verificazione di certificatu in Cisco Umbrella Secure Web Gateway.
- Problemi di cunnessione cù i proxy Bluecoat è Palo Alto.
- OVHcloud hà prublemi per cunnette à l'API OpenStack.
- Prublemi cù a generazione di rapporti in Shopify.
- Ci sò prublemi per accede à l'API Heroku.
- Ledger Live Manager si blocca.
- Errore di verificazione di u certificatu in l'App Developer Tools di Facebook.
- Prublemi in Sophos SG UTM.
- Prublemi cù a verificazione di u certificatu in cPanel.
Source: opennet.ru