Die Einstellung des Root-Zertifikats der Firma IdenTrust (DST Root CA X3), das zur Kreuzunterzeichnung des Root-Zertifikats der Zertifizierungsstelle Let’s Encrypt verwendet wird, hat zu Problemen bei der Überprüfung der Let’s Encrypt-Zertifikate in Projekten geführt, die ältere Versionen von OpenSSL und GnuTLS nutzen. Auch die LibreSSL-Bibliothek war betroffen, da die Entwickler frühere Erfahrungen mit Ausfällen, die nach der Veralterung des Root-Zertifikats der Zertifizierungsstelle Sectigo (Comodo) auftraten, nicht berücksichtigt haben.
Wir erinnern daran, dass in den Versionen von OpenSSL bis einschließlich 1.0.2 und in GnuTLS bis zur Version 3.6.14 ein Fehler vorlag, der die korrekte Verarbeitung von cross-signierten Zertifikaten verhinderte, falls eines der Root-Zertifikate, die bei der Signierung verwendet wurden, abgelaufen war, selbst wenn andere gültige Vertrauensketten vorhanden waren (im Fall von Let’s Encrypt verhindert das Ablaufen des IdenTrust Root-Zertifikats die Überprüfung, auch wenn das System ein gültiges Let’s Encrypt Root-Zertifikat hat, das bis 2030 gültig ist). Der Kern des Problems liegt darin, dass ältere Versionen von OpenSSL und GnuTLS das Zertifikat als lineare Kette interpretierten, während das Zertifikat gemäß RFC 4158 einen gerichteten, verteilten, zyklischen Graphen mit mehreren Vertrauensanker darstellen kann, die berücksichtigt werden müssen.
Um eine Störung zu umgehen, wird empfohlen, das Zertifikat „DST Root CA X3“ aus dem System-Speicher (/etc/ca-certificates.conf und /etc/ssl/certs) zu entfernen und anschließend den Befehl „update-ca-certificates -f -v“ auszuführen. In CentOS und RHEL kann das Zertifikat „DST Root CA X3“ auf die schwarze Liste gesetzt werden: trust dump —filter „pkcs11:id=“ | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
Einige der aufgefallenen Störungen, die nach der Sperrung des Root-Zertifikats von IdenTrust auftraten:
- Die syspatch-Anwendung, die zur Installation von Binärupdates im OpenBSD verwendet wird, funktioniert nicht mehr. Das OpenBSD-Projekt hat heute dringende Patches für die Versionen 6.8 und 6.9 veröffentlicht, um Probleme mit der Überprüfung von cross-signierten Zertifikaten in LibreSSL zu beheben, wobei eines der Root-Zertifikate in der Vertrauenskette abgelaufen ist. Als Workaround wird empfohlen, in /etc/installurl von HTTPS auf HTTP umzuschalten (dies bedroht die Sicherheit nicht, da die Updates zusätzlich durch digitale Signaturen verifiziert werden) oder ein alternatives Mirror auszuwählen (ftp.usa.openbsd.org, ftp.hostserver.de, cdn.openbsd.org). Alternativ kann das abgelaufene Root-Zertifikat DST Root CA X3 aus der Datei /etc/ssl/cert.pem entfernt werden.
- In DragonFly BSD treten ähnliche Probleme beim Arbeiten mit DPorts auf. Bei der Ausführung des Paketmanagers pkg wird ein Zertifikatsprüfungsfehler angezeigt. Die Korrektur wurde heute in die Branches master, DragonFly_RELEASE_6_0 und DragonFly_RELEASE_5_8 aufgenommen. Als Workaround kann das Zertifikat DST Root CA X3 entfernt werden.
- Der Prozess zur Überprüfung von Let’s Encrypt-Zertifikaten in Anwendungen, die auf der Electron-Plattform basieren, ist gestört. Das Problem wurde in den Updates 12.2.1, 13.5.1, 14.1.0 und 15.1.0 behoben.
- In manchen Distributionen gibt es Probleme mit dem Zugriff auf die Paketrepositorys beim Einsatz des Paketmanagers APT, die mit alten Versionen der GnuTLS-Bibliothek zusammenhängen. Betroffen ist Debian 9, in dem ein fehlerhafter GnuTLS-Paket eingesetzt wurde, was zu Problemen beim Zugriff auf deb.debian.org führte, insbesondere für Nutzer, die die Updates nicht rechtzeitig installiert hatten (der Fix gnutls28-3.5.8-5+deb9u6 wurde am 17. September angeboten). Als vorübergehende Lösung wird empfohlen, DST_Root_CA_X3.crt aus der Datei /etc/ca-certificates.conf zu entfernen.
- Die Funktionalität des acme-Clients in der OPNsense-Distribution für die Erstellung von Firewalls ist beeinträchtigt. Obwohl das Problem im Voraus gemeldet wurde, konnten die Entwickler nicht rechtzeitig einen Patch bereitstellen.
- Das Problem betraf das OpenSSL-Paket 1.0.2k in RHEL/CentOS 7, aber vor einer Woche wurde für RHEL 7 und CentOS 7 ein Update des Pakets ca-certificates-2021.2.50-72.el7_9.noarch bereitgestellt, aus dem das IdenTrust-Zertifikat entfernt wurde, wodurch das Problem im Voraus blockiert wurde. Ein ähnliches Update wurde ebenfalls vor einer Woche für Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 und Ubuntu 18.04 veröffentlicht. Da diese Updates rechtzeitig herausgegeben wurden, betraf das Problem mit der Zertifikatsüberprüfung von Let’s Encrypt nur Nutzer älterer Versionen von RHEL/CentOS und Ubuntu, die Updates nicht regelmäßig installieren.
- Der Prozess der Zertifikatsüberprüfung in gRPC ist gestört.
- Fehler beim Erstellen der Cloudflare Pages-Plattform.
- Probleme bei Amazon Web Services (AWS).
- Verbindungsprobleme mit der Datenbank bei DigitalOcean-Nutzern.
- Fehler auf der Cloud-Plattform von Netlify.
- Zugriffsprobleme auf die Dienste von Xero.
- Fehler beim Versuch, eine TLS-Verbindung zur Web-API des MailGun-Dienstes herzustellen.
- Fehler in den Versionen von macOS und iOS (11, 13, 14), die das Problem theoretisch nicht betreffen sollte.
- Fehler in den Diensten von Catchpoint.
- Zertifikatsüberprüfungsfehler beim Zugriff auf die PostMan-API.
- Fehler im Guardian Firewall-Dienst.
- Störung der Support-Seite von monday.com.
- Fehler in der Cerb-Plattform.
- Fehler bei der Überprüfung der Verfügbarkeit in Google Cloud Monitoring.
- Problem bei der Überprüfung der Zertifikate im Cisco Umbrella Secure Web Gateway.
- Verbindungsprobleme mit den Proxys von Bluecoat und Palo Alto.
- Bei OVHcloud gab es Probleme mit der Verbindung zum OpenStack API.
- Probleme bei der Berichtserstellung in Shopify.
- Es gibt Probleme beim Zugriff auf die API von Heroku.
- Fehler im Ledger Live Manager.
- Zertifikatprüfungsfehler in den Entwicklertools für Facebook-Anwendungen.
- Probleme bei Sophos SG UTM.
- Probleme mit der Zertifikatüberprüfung in cPanel.
Quelle: opennet.ru
