Ukončení podpory kořenového certifikátu IdenTrust (DST Root CA X3), používaného ke křížovému podepisování kořenového certifikátu Let's Encrypt CA, způsobilo problémy s ověřováním certifikátu Let's Encrypt v projektech využívajících starší verze OpenSSL a GnuTLS. Problémy se dotkly i knihovny LibreSSL, jejíž vývojáři nebrali v úvahu minulé zkušenosti spojené s poruchami, které vznikly poté, co kořenový certifikát AddTrust certifikační autority Sectigo (Comodo) zastaral.
Připomeňme, že ve vydáních OpenSSL do větve 1.0.2 včetně a v GnuTLS před vydáním 3.6.14 se vyskytla chyba, která neumožňovala správné zpracování křížově podepsaných certifikátů, pokud některý z kořenových certifikátů používaných pro podepisování zastaral. , i když u jiných platných byly zachovány řetězce důvěry (v případě Let's Encrypt brání ověření zastaralost kořenového certifikátu IdenTrust, i když má systém podporu pro vlastní kořenový certifikát Let's Encrypt platný do roku 2030). Podstatou chyby je, že starší verze OpenSSL a GnuTLS analyzovaly certifikát jako lineární řetězec, zatímco podle RFC 4158 může certifikát představovat řízený distribuovaný kruhový graf s více kotvami důvěry, které je třeba vzít v úvahu.
Jako řešení k vyřešení selhání se navrhuje odstranit certifikát „DST Root CA X3“ ze systémového úložiště (/etc/ca-certificates.conf a /etc/ssl/certs) a poté spustit příkaz „update -ca-certifikáty -f -v” "). Na CentOS a RHEL můžete přidat certifikát „DST Root CA X3“ na černou listinu: výpis důvěryhodnosti —filtr „pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem extrakt sudo update-ca-trust
Některá selhání, která jsme zaznamenali po vypršení platnosti kořenového certifikátu IdenTrust:
- V OpenBSD přestal fungovat nástroj syspatch, používaný k instalaci aktualizací binárního systému. Projekt OpenBSD dnes naléhavě vydal záplaty pro větve 6.8 a 6.9, které opravují problémy v LibreSSL s kontrolou křížově podepsaných certifikátů, jejichž platnost jednoho z kořenových certifikátů v řetězci důvěry vypršela. Jako řešení problému se doporučuje přejít z HTTPS na HTTP v /etc/installurl (to neohrožuje bezpečnost, protože aktualizace jsou navíc ověřovány digitálním podpisem) nebo zvolit alternativní zrcadlo (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Můžete také odebrat kořenový certifikát DST Root CA X3, jehož platnost vypršela, ze souboru /etc/ssl/cert.pem.
- V DragonFly BSD jsou podobné problémy pozorovány při práci s DPorty. Při spuštění správce balíčků pkg se objeví chyba ověření certifikátu. Oprava byla dnes přidána do hlavních větví DragonFly_RELEASE_6_0 a DragonFly_RELEASE_5_8. Jako náhradní řešení můžete odebrat certifikát DST Root CA X3.
- Proces ověřování certifikátů Let's Encrypt v aplikacích založených na platformě Electron je nefunkční. Problém byl opraven v aktualizacích 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Některé distribuce mají problémy s přístupem k úložištím balíčků při použití správce balíčků APT spojeného se staršími verzemi knihovny GnuTLS. Problémem se týkal Debian 9, který používal neopravený balíček GnuTLS, což vedlo k problémům s přístupem na deb.debian.org pro uživatele, kteří si aktualizaci nenainstalovali včas (byla nabídnuta oprava gnutls28-3.5.8-5+deb9u6 dne 17. září). Jako náhradní řešení se doporučuje odstranit DST_Root_CA_X3.crt ze souboru /etc/ca-certificates.conf.
- Byl narušen provoz acme-client v distribuční sadě pro vytváření firewallů OPNsense, problém byl nahlášen předem, ale vývojáři nestihli včas vydat záplatu.
- Problém se týkal balíčku OpenSSL 1.0.2k v RHEL/CentOS 7, ale před týdnem byla vygenerována aktualizace balíčku ca-certificates-7-7.el2021.2.50_72.noarch pro RHEL 7 a CentOS 9, ze kterého IdenTrust certifikát byl odebrán, tzn. projev problému byl předem zablokován. Podobná aktualizace byla zveřejněna před týdnem pro Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 a Ubuntu 18.04. Vzhledem k tomu, že aktualizace byly vydány s předstihem, problém s kontrolou certifikátů Let's Encrypt se týkal pouze uživatelů starších větví RHEL/CentOS a Ubuntu, kteří aktualizace pravidelně neinstalují.
- Proces ověření certifikátu v grpc je přerušený.
- Sestavení platformy Cloudflare Pages se nezdařilo.
- Problémy s webovými službami Amazon (AWS).
- Uživatelé DigitalOcean mají problémy s připojením k databázi.
- Cloudová platforma Netlify se zhroutila.
- Problémy s přístupem ke službám Xero.
- Pokus o navázání připojení TLS k webovému rozhraní API služby MailGun se nezdařil.
- Selhání ve verzích macOS a iOS (11, 13, 14), které by problém teoreticky neměl být ovlivněn.
- Služby Catchpoint se nezdařily.
- Chyba při ověřování certifikátů při přístupu k PostMan API.
- Guardian Firewall se zhroutil.
- Stránka podpory monday.com je nefunkční.
- Platforma Cerb havarovala.
- Kontrola dostupnosti ve službě Google Cloud Monitoring selhala.
- Problém s ověřením certifikátu v Cisco Umbrella Secure Web Gateway.
- Problémy s připojením k proxy serverům Bluecoat a Palo Alto.
- OVHcloud má problémy s připojením k OpenStack API.
- Problémy s generováním reportů v Shopify.
- Vyskytly se problémy s přístupem k Heroku API.
- Ledger Live Manager se zhroutí.
- Chyba ověření certifikátu ve službě Facebook App Developer Tools.
- Problémy v Sophos SG UTM.
- Problémy s ověřením certifikátu v cPanel.
Zdroj: opennet.ru