ProHoster > Blog > ειδήσεις στο διαδίκτυο > Σφάλματα στο OpenBSD, DragonFly BSD και Electron λόγω ξεπερασμένου πιστοποιητικού ρίζας IdenTrust

Σφάλματα στο OpenBSD, DragonFly BSD και Electron λόγω ξεπερασμένου πιστοποιητικού ρίζας IdenTrust

Η κατάργηση του πιστοποιητικού ρίζας IdenTrust (DST Root CA X3), που χρησιμοποιείται για τη διασταυρούμενη υπογραφή του πιστοποιητικού ρίζας Let's Encrypt CA, έχει προκαλέσει προβλήματα με την επαλήθευση πιστοποιητικού Let's Encrypt σε έργα που χρησιμοποιούν παλαιότερες εκδόσεις του OpenSSL και του GnuTLS. Προβλήματα επηρέασαν επίσης τη βιβλιοθήκη LibreSSL, οι προγραμματιστές της οποίας δεν έλαβαν υπόψη την προηγούμενη εμπειρία που σχετίζεται με αποτυχίες που προέκυψαν μετά την απαρχαιωμένη έκδοση του ριζικού πιστοποιητικού AddTrust της αρχής έκδοσης πιστοποιητικών Sectigo (Comodo).

Ας θυμηθούμε ότι στις εκδόσεις OpenSSL έως τον κλάδο 1.0.2 συμπεριλαμβανομένου και στο GnuTLS πριν από την έκδοση 3.6.14, υπήρχε ένα σφάλμα που δεν επέτρεπε τη σωστή επεξεργασία των πιστοποιητικών διασταυρούμενης υπογραφής εάν ένα από τα πιστοποιητικά ρίζας που χρησιμοποιήθηκαν για την υπογραφή ήταν ξεπερασμένο , ακόμα κι αν άλλες έγκυρες διατηρήθηκαν αλυσίδες εμπιστοσύνης (στην περίπτωση του Let's Encrypt, η απαρχαιωμένη έκδοση του πιστοποιητικού ρίζας IdenTrust εμποδίζει την επαλήθευση, ακόμη και αν το σύστημα υποστηρίζει το πιστοποιητικό ρίζας του Let's Encrypt, με ισχύ έως το 2030). Η ουσία του σφάλματος είναι ότι παλαιότερες εκδόσεις του OpenSSL και του GnuTLS ανέλυσαν το πιστοποιητικό ως γραμμική αλυσίδα, ενώ σύμφωνα με το RFC 4158, ένα πιστοποιητικό μπορεί να αντιπροσωπεύει ένα κατευθυνόμενο κατανεμημένο κυκλικό γράφημα με πολλαπλές αγκυρώσεις εμπιστοσύνης που πρέπει να ληφθούν υπόψη.

Ως λύση για την επίλυση της αποτυχίας, προτείνεται η διαγραφή του πιστοποιητικού "DST Root CA X3" από την αποθήκευση του συστήματος (/etc/ca-certificates.conf και /etc/ssl/certs) και στη συνέχεια να εκτελεστεί η εντολή "ενημέρωση -ca-πιστοποιητικά -f -v” "). Σε CentOS και RHEL, μπορείτε να προσθέσετε το πιστοποιητικό "DST Root CA X3" στη μαύρη λίστα: ένδειξη εμπιστοσύνης — φίλτρο "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract

Ορισμένα από τα σφάλματα που έχουμε δει και τα οποία συνέβησαν μετά τη λήξη του ριζικού πιστοποιητικού IdenTrust:

  • Στο OpenBSD, το βοηθητικό πρόγραμμα syspatch, που χρησιμοποιείται για την εγκατάσταση ενημερώσεων δυαδικού συστήματος, έχει σταματήσει να λειτουργεί. Το έργο OpenBSD κυκλοφόρησε σήμερα επειγόντως ενημερώσεις κώδικα για τους κλάδους 6.8 και 6.9 που διορθώνουν προβλήματα στο LibreSSL με τον έλεγχο διασταυρωμένων πιστοποιητικών, ένα από τα ριζικά πιστοποιητικά στην αλυσίδα εμπιστοσύνης των οποίων έχει λήξει. Ως λύση για το πρόβλημα, συνιστάται η εναλλαγή από HTTPS σε HTTP στο /etc/installurl (αυτό δεν απειλεί την ασφάλεια, καθώς οι ενημερώσεις επαληθεύονται επιπλέον από μια ψηφιακή υπογραφή) ή να επιλέξετε έναν εναλλακτικό καθρέφτη (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Μπορείτε επίσης να αφαιρέσετε το ληγμένο πιστοποιητικό ρίζας DST Root CA X3 από το αρχείο /etc/ssl/cert.pem.
  • Στο DragonFly BSD, παρόμοια προβλήματα παρατηρούνται κατά την εργασία με DPorts. Κατά την εκκίνηση του διαχειριστή πακέτων pkg, εμφανίζεται ένα σφάλμα επαλήθευσης πιστοποιητικού. Η επιδιόρθωση προστέθηκε σήμερα στους κλάδους Master, DragonFly_RELEASE_6_0 και DragonFly_RELEASE_5_8. Ως λύση, μπορείτε να καταργήσετε το πιστοποιητικό DST Root CA X3.
  • Η διαδικασία επαλήθευσης πιστοποιητικών Let's Encrypt σε εφαρμογές που βασίζονται στην πλατφόρμα Electron έχει διακοπεί. Το πρόβλημα επιδιορθώθηκε στις ενημερώσεις 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Ορισμένες διανομές αντιμετωπίζουν προβλήματα πρόσβασης στα αποθετήρια πακέτων όταν χρησιμοποιούν τον διαχειριστή πακέτων APT που σχετίζεται με παλαιότερες εκδόσεις της βιβλιοθήκης GnuTLS. Το Debian 9 επηρεάστηκε από το πρόβλημα, το οποίο χρησιμοποίησε ένα μη επιδιορθωμένο πακέτο GnuTLS, το οποίο οδήγησε σε προβλήματα κατά την πρόσβαση στο deb.debian.org για χρήστες που δεν εγκατέστησαν την ενημέρωση εγκαίρως (προσφέρθηκε η επιδιόρθωση gnutls28-3.5.8-5+deb9u6 στις 17 Σεπτεμβρίου). Ως λύση, συνιστάται η κατάργηση του DST_Root_CA_X3.crt από το αρχείο /etc/ca-certificates.conf.
  • Η λειτουργία του acme-client στο κιτ διανομής για τη δημιουργία τείχους προστασίας OPNsense διακόπηκε· το πρόβλημα αναφέρθηκε εκ των προτέρων, αλλά οι προγραμματιστές δεν κατάφεραν να κυκλοφορήσουν έγκαιρα μια ενημέρωση κώδικα.
  • Το πρόβλημα επηρέασε το πακέτο OpenSSL 1.0.2k στο RHEL/CentOS 7, αλλά πριν από μια εβδομάδα δημιουργήθηκε μια ενημέρωση στο πακέτο ca-certificates-7-7.el2021.2.50_72.noarch για το RHEL 7 και το CentOS 9, από το οποίο το IdenTrust το πιστοποιητικό αφαιρέθηκε, δηλ. η εκδήλωση του προβλήματος μπλοκαρίστηκε εκ των προτέρων. Μια παρόμοια ενημέρωση δημοσιεύθηκε πριν από μια εβδομάδα για τα Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 και Ubuntu 18.04. Δεδομένου ότι οι ενημερώσεις κυκλοφόρησαν εκ των προτέρων, το πρόβλημα με τον έλεγχο των πιστοποιητικών Let's Encrypt επηρέασε μόνο τους χρήστες παλαιότερων υποκαταστημάτων του RHEL/CentOS και του Ubuntu που δεν εγκαθιστούν τακτικά ενημερώσεις.
  • Η διαδικασία επαλήθευσης πιστοποιητικού στο grpc είναι κατεστραμμένη.
  • Η δημιουργία πλατφόρμας Cloudflare Pages απέτυχε.
  • Ζητήματα στις Υπηρεσίες Ιστού της Amazon (AWS).
  • Οι χρήστες του DigitalOcean αντιμετωπίζουν προβλήματα σύνδεσης στη βάση δεδομένων.
  • Η πλατφόρμα cloud του Netlify έχει καταρρεύσει.
  • Προβλήματα πρόσβασης στις υπηρεσίες Xero.
  • Μια προσπάθεια δημιουργίας σύνδεσης TLS με το Web API της υπηρεσίας MailGun απέτυχε.
  • Σφάλματα σε εκδόσεις macOS και iOS (11, 13, 14), τα οποία θεωρητικά δεν θα έπρεπε να έχουν επηρεαστεί από το πρόβλημα.
  • Απέτυχαν οι υπηρεσίες του σημείου πρόσληψης.
  • Σφάλμα επαλήθευσης πιστοποιητικών κατά την πρόσβαση στο PostMan API.
  • Το τείχος προστασίας του Guardian συνετρίβη.
  • Η σελίδα υποστήριξης monday.com έχει σπάσει.
  • Η πλατφόρμα Cerb συνετρίβη.
  • Ο έλεγχος χρόνου λειτουργίας απέτυχε στο Google Cloud Monitoring.
  • Πρόβλημα με την επαλήθευση πιστοποιητικού στο Cisco Umbrella Secure Web Gateway.
  • Προβλήματα σύνδεσης με διακομιστές μεσολάβησης Bluecoat και Palo Alto.
  • Το OVHcloud αντιμετωπίζει προβλήματα με τη σύνδεση στο OpenStack API.
  • Προβλήματα με τη δημιουργία αναφορών στο Shopify.
  • Υπάρχουν προβλήματα με την πρόσβαση στο Heroku API.
  • Το Ledger Live Manager διακόπτεται.
  • Σφάλμα επαλήθευσης πιστοποιητικού στο Facebook App Developer Tools.
  • Προβλήματα στο Sophos SG UTM.
  • Προβλήματα με την επαλήθευση πιστοποιητικού στο cPanel.

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο