ProHoster > Блог > interretaj novaĵoj > Kraŝoj en OpenBSD, DragonFly BSD kaj Electron pro eksvalidiĝo de radika atestilo de IdenTrust

Kraŝoj en OpenBSD, DragonFly BSD kaj Electron pro eksvalidiĝo de radika atestilo de IdenTrust

La malrekomendiĝo de la radika atestilo de IdenTrust (DST Root CA X3), uzata por krucsubskribi la radikan atestilon de Let's Encrypt CA, kaŭzis problemojn kun la atestilo de Let's Encrypt en projektoj uzantaj pli malnovajn versiojn de OpenSSL kaj GnuTLS. Problemoj ankaŭ influis la LibreSSL-bibliotekon, kies programistoj ne enkalkulis pasintan sperton asociitan kun fiaskoj, kiuj estiĝis post kiam la radika atestilo AddTrust de la Sectigo (Comodo) CA iĝis malnoviĝinta.

Ni rememoru, ke en OpenSSL-eldonoj ĝis branĉo 1.0.2 inkluzive kaj en GnuTLS antaŭ eldono 3.6.14, estis cimo, kiu ne permesis ke krucsubskribitaj atestiloj estu ĝuste prilaboritaj se unu el la radikaj atestiloj uzataj por subskribo malnoviĝis. , eĉ se aliaj validaj estis konservitaj ĉenoj de fido (en la kazo de Let's Encrypt, la malnoviĝo de la radika atestilo IdenTrust malhelpas kontrolon, eĉ se la sistemo havas subtenon por la propra radika atestilo de Let's Encrypt, valida ĝis 2030). La esenco de la cimo estas, ke pli malnovaj versioj de OpenSSL kaj GnuTLS analizis la atestilon kiel lineara ĉeno, dum laŭ RFC 4158, atestilo povas reprezenti direktitan distribuitan cirklan grafeon kun pluraj fidindaj ankroj, kiujn oni devas konsideri.

Kiel solvo por solvi la malsukceson, oni proponas forigi la atestilon "DST Root CA X3" el la sistema stokado (/etc/ca-certificates.conf kaj /etc/ssl/certs), kaj poste ruli la komandon "ĝisdatigi". -ca-atestiloj -f -v” "). En CentOS kaj RHEL, vi povas aldoni la atestilon "DST Root CA X3" al la nigra listo: trust-dump —filtrilo "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract

Kelkaj el la kraŝoj, kiujn ni vidis, kiuj okazis post kiam la radika atestilo de IdenTrust eksvalidiĝis:

  • En OpenBSD, la syspatch ilo, uzata por instali binarajn sistemajn ĝisdatigojn, ĉesis funkcii. La OpenBSD-projekto hodiaŭ urĝe publikigis diakilojn por branĉoj 6.8 kaj 6.9, kiuj riparas problemojn en LibreSSL kun kontrolado de krucsubskribitaj atestiloj, unu el la radikaj atestiloj en kies fida ĉeno eksvalidiĝis. Kiel solvo por la problemo, oni rekomendas ŝanĝi de HTTPS al HTTP en /etc/installurl (ĉi tio ne minacas sekurecon, ĉar ĝisdatigoj estas aldone kontrolitaj per cifereca subskribo) aŭ elekti alternativan spegulon (ftp.usa.openbsd). org, ftp.hostserver.de, cdn.openbsd.org). Vi ankaŭ povas forigi la eksvalidiĝintan radikan atestilon de DST Root CA X3 el la dosiero /etc/ssl/cert.pem.
  • En DragonFly BSD, similaj problemoj estas observitaj kiam oni laboras kun DPorts. Ekfunkciigante la pakaĵadministrilon pkg, aperas eraro pri atestilo. La riparo estis aldonita hodiaŭ al la branĉoj majstro, DragonFly_RELEASE_6_0 kaj DragonFly_RELEASE_5_8. Kiel solvo, vi povas forigi la atestilon DST Root CA X3.
  • La procezo de kontrolado de Let's Encrypt atestiloj en aplikoj bazitaj sur la platformo Electron estas rompita. La problemo estis riparita en ĝisdatigoj 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Iuj distribuoj havas problemojn aliri pakaĵdeponejojn kiam vi uzas la pakaĵadministrilon APT asociitan kun pli malnovaj versioj de la biblioteko GnuTLS. Debian 9 estis tuŝita de la problemo, kiu uzis neflikitan GnuTLS-pakaĵon, kio kaŭzis problemojn dum aliro al deb.debian.org por uzantoj, kiuj ne instalis la ĝisdatigon ĝustatempe (la gnutls28-3.5.8-5+deb9u6 riparo estis proponita. la 17-an de septembro). Kiel solvo, oni rekomendas forigi DST_Root_CA_X3.crt el la dosiero /etc/ca-certificates.conf.
  • La funkciado de acme-client en la distribua kompleto por krei OPNsense-fajrmurojn estis interrompita; la problemo estis raportita anticipe, sed la programistoj ne sukcesis liberigi diakilon ĝustatempe.
  • La problemo influis la OpenSSL 1.0.2k-pakaĵon en RHEL/CentOS 7, sed antaŭ semajno ĝisdatigo de la ca-certificates-7-7.el2021.2.50_72.noarch-pakaĵo estis generita por RHEL 7 kaj CentOS 9, de kiuj la IdenTrust. atestilo estis forigita, t.e. la manifestiĝo de la problemo estis blokita anticipe. Simila ĝisdatigo estis publikigita antaŭ semajno por Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 kaj Ubuntu 18.04. Ĉar la ĝisdatigoj estis publikigitaj anticipe, la problemo pri kontrolado de Let's Encrypt atestiloj influis nur uzantojn de pli malnovaj branĉoj de RHEL/CentOS kaj Ubuntu, kiuj ne regule instalas ĝisdatigojn.
  • La atestila kontrola procezo en grpc estas rompita.
  • La platformo de Cloudflare Pages malsukcesis.
  • Problemoj en Amazon Web Services (AWS).
  • Uzantoj de DigitalOcean havas problemojn por konekti al la datumbazo.
  • La Netlify-nuba platformo kraŝis.
  • Problemoj alirantaj Xero-servojn.
  • Provo establi TLS-konekton al la Reta API de la MailGun-servo malsukcesis.
  • Kraŝoj en versioj de macOS kaj iOS (11, 13, 14), kiuj teorie ne devus esti tuŝitaj de la problemo.
  • Kaptpunktoservoj malsukcesis.
  • Eraro kontrolante atestojn alirante PostMan API.
  • Guardian Firewall kraŝis.
  • La subtena paĝo de monday.com estas rompita.
  • La platformo Cerb kraŝis.
  • Kontrolo de funkciado malsukcesis en Google Cloud Monitoring.
  • Problemo kun atestila konfirmo en Cisco Umbrella Secure Web Gateway.
  • Problemoj kun ligado al Bluecoat kaj Palo Alto prokuriloj.
  • OVHcloud havas problemojn por konekti al la OpenStack API.
  • Problemoj kun generado de raportoj en Shopify.
  • Estas problemoj aliri la Heroku API.
  • Ledger Live Manager kraŝas.
  • Eraro pri atestilo en Facebook App Developer Tools.
  • Problemoj en Sophos SG UTM.
  • Problemoj kun atestilo en cPanel.

fonto: opennet.ru

Aldoni komenton