ProHoster > Blog > internet nyheder > Nedbrud i OpenBSD, DragonFly BSD og Electron på grund af forældet IdenTrust rodcertifikat

Nedbrud i OpenBSD, DragonFly BSD og Electron på grund af forældet IdenTrust rodcertifikat

Udfasningen af ​​IdenTrust-rodcertifikatet (DST Root CA X3), der bruges til at krydssignere Let's Encrypt CA-rodcertifikatet, har forårsaget problemer med Let's Encrypt-certifikatverifikation i projekter, der bruger ældre versioner af OpenSSL og GnuTLS. Problemer påvirkede også LibreSSL-biblioteket, hvis udviklere ikke tog højde for tidligere erfaringer forbundet med fejl, der opstod efter Sectigo (Comodo) CA's AddTrust-rodcertifikat blev forældet.

Lad os huske på, at der i OpenSSL-udgivelser op til gren 1.0.2 inklusive og i GnuTLS før udgivelse 3.6.14 var en fejl, der ikke tillod krydssignerede certifikater at blive behandlet korrekt, hvis et af rodcertifikaterne, der blev brugt til signering, blev forældet , selvom andre gyldige var bevarede tillidskæder (i tilfælde af Let's Encrypt forhindrer forældelsen af ​​IdenTrust-rodcertifikatet verifikation, selvom systemet har understøttelse af Let's Encrypts eget rodcertifikat, gyldigt indtil 2030). Kernen i fejlen er, at ældre versioner af OpenSSL og GnuTLS parsede certifikatet som en lineær kæde, mens et certifikat ifølge RFC 4158 kan repræsentere en rettet distribueret cirkulær graf med flere tillidsankre, der skal tages i betragtning.

Som en løsning til at løse fejlen foreslås det at slette "DST Root CA X3"-certifikatet fra systemlageret (/etc/ca-certificates.conf og /etc/ssl/certs), og derefter køre kommandoen "update" -ca-certifikater -f -v” "). På CentOS og RHEL kan du tilføje "DST Root CA X3"-certifikatet til sortlisten: trust dump —filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust ekstrakt

Nogle af de nedbrud, vi har set, der opstod efter IdenTrust-rodcertifikatet udløb:

  • I OpenBSD er syspatch-værktøjet, der bruges til at installere binære systemopdateringer, holdt op med at virke. OpenBSD-projektet har i dag omgående frigivet patches til grenene 6.8 og 6.9, der løser problemer i LibreSSL med kontrol af krydssignerede certifikater, hvor et af rodcertifikaterne i tillidskæden er udløbet. Som en løsning på problemet anbefales det at skifte fra HTTPS til HTTP i /etc/installurl (dette truer ikke sikkerheden, da opdateringer desuden verificeres af en digital signatur) eller vælge et alternativt spejl (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Du kan også fjerne det udløbne DST Root CA X3 rodcertifikat fra filen /etc/ssl/cert.pem.
  • I DragonFly BSD observeres lignende problemer, når du arbejder med DPorts. Når du starter pkg-pakkehåndteringen, vises en certifikatbekræftelsesfejl. Rettelsen blev tilføjet i dag til master, DragonFly_RELEASE_6_0 og DragonFly_RELEASE_5_8 grenene. Som en løsning kan du fjerne DST Root CA X3-certifikatet.
  • Processen med at verificere Let's Encrypt-certifikater i applikationer baseret på Electron-platformen er brudt. Problemet blev rettet i opdateringer 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Nogle distributioner har problemer med at få adgang til pakkelager, når du bruger APT-pakkehåndteringen, der er forbundet med ældre versioner af GnuTLS-biblioteket. Debian 9 var påvirket af problemet, som brugte en ikke-patchet GnuTLS-pakke, hvilket førte til problemer ved adgang til deb.debian.org for brugere, der ikke installerede opdateringen i tide (gnutls28-3.5.8-5+deb9u6 rettelsen blev tilbudt den 17. september). Som en løsning anbefales det at fjerne DST_Root_CA_X3.crt fra filen /etc/ca-certificates.conf.
  • Driften af ​​acme-client i distributionssættet til oprettelse af OPNsense firewalls blev afbrudt; problemet blev rapporteret på forhånd, men udviklerne nåede ikke at frigive en patch i tide.
  • Problemet påvirkede OpenSSL 1.0.2k-pakken i RHEL/CentOS 7, men for en uge siden blev der genereret en opdatering til ca-certificates-7-7.el2021.2.50_72.noarch til RHEL 7 og CentOS 9, hvorfra IdenTrust certifikat blev fjernet, dvs. manifestationen af ​​problemet var blokeret på forhånd. En lignende opdatering blev offentliggjort for en uge siden til Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 og Ubuntu 18.04. Da opdateringerne blev frigivet på forhånd, påvirkede problemet med at kontrollere Let's Encrypt-certifikater kun brugere af ældre grene af RHEL/CentOS og Ubuntu, som ikke regelmæssigt installerer opdateringer.
  • Certifikatbekræftelsesprocessen i grpc er brudt.
  • Opbygning af Cloudflare Pages-platform mislykkedes.
  • Problemer i Amazon Web Services (AWS).
  • DigitalOcean-brugere har problemer med at oprette forbindelse til databasen.
  • Netlify cloud-platformen er gået ned.
  • Problemer med at få adgang til Xero-tjenester.
  • Et forsøg på at etablere en TLS-forbindelse til MailGun-tjenestens web-API mislykkedes.
  • Nedbrud i versioner af macOS og iOS (11, 13, 14), som teoretisk set ikke skulle have været påvirket af problemet.
  • Catchpoint-tjenester mislykkedes.
  • Fejl ved bekræftelse af certifikater ved adgang til PostMan API.
  • Guardian Firewall er gået ned.
  • Monday.com supportsiden er ødelagt.
  • Cerb-platformen er styrtet ned.
  • Opetidstjek mislykkedes i Google Cloud Monitoring.
  • Problem med certifikatbekræftelse i Cisco Umbrella Secure Web Gateway.
  • Problemer med at oprette forbindelse til Bluecoat og Palo Alto proxyer.
  • OVHcloud har problemer med at oprette forbindelse til OpenStack API.
  • Problemer med at generere rapporter i Shopify.
  • Der er problemer med at få adgang til Heroku API.
  • Ledger Live Manager går ned.
  • Certifikatbekræftelsesfejl i Facebook App Developer Tools.
  • Problemer i Sophos SG UTM.
  • Problemer med certifikatbekræftelse i cPanel.

Kilde: opennet.ru

Tilføj en kommentar