La obsolescencia del certificado raíz de IdenTrust (DST Root CA X3), utilizado para firmar cruzadamente el certificado raíz de Let's Encrypt CA, ha causado problemas con la verificación del certificado Let's Encrypt en proyectos que utilizan versiones anteriores de OpenSSL y GnuTLS. Los problemas también afectaron a la biblioteca LibreSSL, cuyos desarrolladores no tuvieron en cuenta la experiencia pasada asociada con fallas que surgieron después de que el certificado raíz AddTrust de Sectigo (Comodo) CA quedó obsoleto.
Recordemos que en las versiones de OpenSSL hasta la rama 1.0.2 inclusive y en GnuTLS anteriores a la versión 3.6.14, había un error que no permitía procesar correctamente los certificados con firma cruzada si uno de los certificados raíz utilizados para la firma quedaba desactualizado. , incluso si se conservaran otras cadenas de confianza válidas (en el caso de Let's Encrypt, la obsolescencia del certificado raíz de IdenTrust impide la verificación, incluso si el sistema tiene soporte para el propio certificado raíz de Let's Encrypt, válido hasta 2030). La esencia del error es que las versiones anteriores de OpenSSL y GnuTLS analizaban el certificado como una cadena lineal, mientras que según RFC 4158, un certificado puede representar un gráfico circular distribuido dirigido con múltiples anclajes de confianza que deben tenerse en cuenta.
Como solución alternativa para resolver el error, se propone eliminar el certificado “DST Root CA X3” del almacenamiento del sistema (/etc/ca-certificates.conf y /etc/ssl/certs) y luego ejecutar el comando “update -certificados-ca -f -v” "). En CentOS y RHEL, puede agregar el certificado “DST Root CA X3” a la lista negra: volcado de confianza —filtro “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
Algunos de los fallos que hemos visto ocurrieron después de que expiró el certificado raíz de IdenTrust:
- En OpenBSD, la utilidad syspatch, utilizada para instalar actualizaciones del sistema binario, dejó de funcionar. El proyecto OpenBSD lanzó hoy con urgencia parches para las ramas 6.8 y 6.9 que solucionan problemas en LibreSSL con la verificación de certificados con firma cruzada, uno de los certificados raíz en cuya cadena de confianza ha caducado. Como solución al problema, se recomienda cambiar de HTTPS a HTTP en /etc/installurl (esto no amenaza la seguridad, ya que las actualizaciones se verifican adicionalmente mediante una firma digital) o seleccionar un espejo alternativo (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). También puede eliminar el certificado raíz DST Root CA X3 caducado del archivo /etc/ssl/cert.pem.
- En DragonFly BSD, se observan problemas similares al trabajar con DPorts. Al iniciar el administrador de paquetes pkg, aparece un error de verificación de certificado. La solución se agregó hoy a las ramas maestra, DragonFly_RELEASE_6_0 y DragonFly_RELEASE_5_8. Como solución alternativa, puede eliminar el certificado DST Root CA X3.
- El proceso de verificación de certificados Let's Encrypt en aplicaciones basadas en la plataforma Electron está roto. El problema se solucionó en las actualizaciones 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Algunas distribuciones tienen problemas para acceder a los repositorios de paquetes cuando utilizan el administrador de paquetes APT asociado con versiones anteriores de la biblioteca GnuTLS. Debian 9 se vio afectado por el problema, que utilizaba un paquete GnuTLS sin parches, lo que generaba problemas al acceder a deb.debian.org para los usuarios que no instalaron la actualización a tiempo (se ofreció la solución gnutls28-3.5.8-5+deb9u6). el 17 de septiembre). Como solución alternativa, se recomienda eliminar DST_Root_CA_X3.crt del archivo /etc/ca-certificates.conf.
- Se interrumpió el funcionamiento de acme-client en el kit de distribución para crear firewalls OPNsense, el problema se informó con antelación, pero los desarrolladores no lograron lanzar el parche a tiempo.
- El problema afectó al paquete OpenSSL 1.0.2k en RHEL/CentOS 7, pero hace una semana se generó una actualización del paquete ca-certificates-7-7.el2021.2.50_72.noarch para RHEL 7 y CentOS 9, a partir del cual IdenTrust se eliminó el certificado, es decir la manifestación del problema fue bloqueada de antemano. Hace una semana se publicó una actualización similar para Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 y Ubuntu 18.04. Dado que las actualizaciones se publicaron con anticipación, el problema con la verificación de los certificados Let's Encrypt afectó solo a los usuarios de ramas más antiguas de RHEL/CentOS y Ubuntu que no instalan actualizaciones regularmente.
- El proceso de verificación de certificados en grpc no funciona.
- Error en la compilación de la plataforma Cloudflare Pages.
- Problemas en Amazon Web Services (AWS).
- Los usuarios de DigitalOcean tienen problemas para conectarse a la base de datos.
- La plataforma en la nube Netlify ha fallado.
- Problemas para acceder a los servicios de Xero.
- Falló el intento de establecer una conexión TLS con la API web del servicio MailGun.
- Fallos en versiones de macOS e iOS (11, 13, 14), que teóricamente no deberían haberse visto afectadas por el problema.
- Los servicios de Catchpoint fallaron.
- Error al verificar los certificados al acceder a la API de PostMan.
- El cortafuegos Guardian ha fallado.
- La página de soporte de monday.com no funciona.
- La plataforma Cerb se ha estrellado.
- La verificación del tiempo de actividad falló en Google Cloud Monitoring.
- Problema con la verificación del certificado en Cisco Umbrella Secure Web Gateway.
- Problemas para conectarse a los proxies Bluecoat y Palo Alto.
- OVHcloud tiene problemas para conectarse a la API OpenStack.
- Problemas con la generación de informes en Shopify.
- Hay problemas para acceder a la API de Heroku.
- Ledger Live Manager falla.
- Error de verificación de certificado en las herramientas para desarrolladores de aplicaciones de Facebook.
- Problemas en Sophos SG UTM.
- Problemas con la verificación de certificados en cPanel.
Fuente: opennet.ru