Die veraltete Version des IdenTrust-Stammzertifikats (DST Root CA Probleme betrafen auch die LibreSSL-Bibliothek, deren Entwickler frühere Erfahrungen mit Ausfällen nicht berücksichtigten, die auftraten, nachdem das AddTrust-Stammzertifikat der Sectigo (Comodo) CA veraltet war.
Erinnern wir uns daran, dass es in OpenSSL-Releases bis einschließlich Branch 1.0.2 und in GnuTLS vor Release 3.6.14 einen Fehler gab, der die korrekte Verarbeitung kreuzsignierter Zertifikate nicht zuließ, wenn eines der zum Signieren verwendeten Stammzertifikate veraltet war , auch wenn andere gültige Vertrauensketten erhalten blieben (im Fall von Let's Encrypt verhindert die Veralterung des IdenTrust-Stammzertifikats eine Überprüfung, selbst wenn das System das eigene Stammzertifikat von Let's Encrypt unterstützt, das bis 2030 gültig ist). Der Kern des Fehlers besteht darin, dass ältere Versionen von OpenSSL und GnuTLS das Zertifikat als lineare Kette analysierten, während ein Zertifikat gemäß RFC 4158 einen gerichteten verteilten kreisförmigen Graphen mit mehreren Vertrauensankern darstellen kann, die berücksichtigt werden müssen.
Als Workaround zur Behebung des Fehlers wird vorgeschlagen, das „DST Root CA X3“-Zertifikat aus dem Systemspeicher (/etc/ca-certificates.conf und /etc/ssl/certs) zu löschen und dann den Befehl „update -ca-Zertifikate -f -v“ "). Unter CentOS und RHEL können Sie das Zertifikat „DST Root CA 3b%11 %4%ff%c7%1%4%7%2%71" | openSL x1 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X4.pem sudo update-ca-trust extract
Einige der Abstürze, die wir gesehen haben, nachdem das IdenTrust-Stammzertifikat abgelaufen ist:
- In OpenBSD funktioniert das Dienstprogramm syspatch, das zur Installation binärer Systemaktualisierungen verwendet wird, nicht mehr. Das OpenBSD-Projekt hat heute dringend Patches für die Zweige 6.8 und 6.9 veröffentlicht, die Probleme in LibreSSL bei der Überprüfung von kreuzsignierten Zertifikaten beheben, von denen eines der Stammzertifikate in der Vertrauenskette abgelaufen ist. Um das Problem zu umgehen, wird empfohlen, in /etc/installurl von HTTPS auf HTTP umzustellen (dies stellt keine Gefahr für die Sicherheit dar, da Updates zusätzlich durch eine digitale Signatur überprüft werden) oder einen alternativen Spiegel (ftp.usa.openbsd) auszuwählen. org, ftp.hostserver.de, cdn.openbsd.org). Sie können das abgelaufene DST Root CA X3-Stammzertifikat auch aus der Datei /etc/ssl/cert.pem entfernen.
- In DragonFly BSD werden ähnliche Probleme beim Arbeiten mit DPorts beobachtet. Beim Starten des pkg-Paketmanagers wird ein Zertifikatsüberprüfungsfehler angezeigt. Der Fix wurde heute zu den Zweigen Master, DragonFly_RELEASE_6_0 und DragonFly_RELEASE_5_8 hinzugefügt. Um dieses Problem zu umgehen, können Sie das DST-Root-CA-X3-Zertifikat entfernen.
- Der Prozess der Überprüfung von Let's Encrypt-Zertifikaten in Anwendungen, die auf der Electron-Plattform basieren, ist fehlerhaft. Das Problem wurde in den Updates 12.2.1, 13.5.1, 14.1.0, 15.1.0 behoben.
- Einige Distributionen haben Probleme beim Zugriff auf Paket-Repositorys, wenn sie den APT-Paketmanager verwenden, der mit älteren Versionen der GnuTLS-Bibliothek verknüpft ist. Debian 9 war von dem Problem betroffen, das ein ungepatchtes GnuTLS-Paket verwendete, was zu Problemen beim Zugriff auf deb.debian.org für Benutzer führte, die das Update nicht rechtzeitig installierten (es wurde der Fix gnutls28-3.5.8-5+deb9u6 angeboten). am 17. September). Als Workaround wird empfohlen, DST_Root_CA_X3.crt aus der Datei /etc/ca-certificates.conf zu entfernen.
- Der Betrieb von acme-client im Distributionskit zur Erstellung von OPNsense-Firewalls war gestört; das Problem wurde im Voraus gemeldet, die Entwickler konnten jedoch nicht rechtzeitig einen Patch veröffentlichen.
- Das Problem betraf das OpenSSL 1.0.2k-Paket in RHEL/CentOS 7, aber vor einer Woche wurde ein Update des ca-certificates-7-7.el2021.2.50_72.noarch-Pakets für RHEL 7 und CentOS 9 generiert, aus dem die IdenTrust Zertifikat wurde entfernt, d.h. Die Manifestation des Problems wurde im Voraus blockiert. Ein ähnliches Update wurde vor einer Woche für Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 und Ubuntu 18.04 veröffentlicht. Da die Updates vorab veröffentlicht wurden, betraf das Problem bei der Überprüfung von Let's Encrypt-Zertifikaten nur Benutzer älterer Zweige von RHEL/CentOS und Ubuntu, die nicht regelmäßig Updates installieren.
- Der Zertifikatsüberprüfungsprozess in grpc ist fehlerhaft.
- Der Aufbau der Cloudflare Pages-Plattform ist fehlgeschlagen.
- Probleme in Amazon Web Services (AWS).
- DigitalOcean-Benutzer haben Probleme beim Herstellen einer Verbindung zur Datenbank.
- Die Netlify-Cloud-Plattform ist abgestürzt.
- Probleme beim Zugriff auf Xero-Dienste.
- Ein Versuch, eine TLS-Verbindung zur Web-API des MailGun-Dienstes herzustellen, ist fehlgeschlagen.
- Abstürze in Versionen von macOS und iOS (11, 13, 14), die theoretisch nicht von dem Problem betroffen sein sollten.
- Catchpoint-Dienste sind fehlgeschlagen.
- Fehler beim Überprüfen der Zertifikate beim Zugriff auf die PostMan-API.
- Guardian Firewall ist abgestürzt.
- Die Support-Seite von monday.com ist defekt.
- Die Cerb-Plattform ist abgestürzt.
- Die Verfügbarkeitsprüfung in Google Cloud Monitoring ist fehlgeschlagen.
- Problem mit der Zertifikatsüberprüfung im Cisco Umbrella Secure Web Gateway.
- Probleme beim Herstellen einer Verbindung zu Bluecoat- und Palo Alto-Proxys.
- OVHcloud hat Probleme bei der Verbindung zur OpenStack-API.
- Probleme beim Generieren von Berichten in Shopify.
- Es gibt Probleme beim Zugriff auf die Heroku-API.
- Ledger Live Manager stürzt ab.
- Fehler bei der Zertifikatsüberprüfung in den Facebook App Developer Tools.
- Probleme in Sophos SG UTM.
- Probleme mit der Zertifikatsüberprüfung in cPanel.
Source: opennet.ru