ProHoster > Blogi > internetiuudised > OpenBSD, DragonFly BSD ja Electron krahhid IdenTrusti juursertifikaadi aegumise tõttu

OpenBSD, DragonFly BSD ja Electron krahhid IdenTrusti juursertifikaadi aegumise tõttu

IdenTrusti juursertifikaadi (DST Root CA X3) aegumine, mida kasutatakse Let's Encrypt CA juursertifikaadi ristallkirjastamiseks, on põhjustanud probleeme Let's Encrypt sertifikaadi kontrollimisega projektides, mis kasutavad OpenSSL-i ja GnuTLS-i vanemaid versioone. Probleemid puudutasid ka LibreSSL-i teeki, mille arendajad ei võtnud arvesse varasemaid kogemusi, mis on seotud tõrgetega, mis tekkisid pärast Sectigo (Comodo) CA AddTrust juursertifikaadi vananemist.

Tuletagem meelde, et OpenSSL-i väljalasetes kuni haruni 1.0.2 (kaasa arvatud) ja GnuTLS-is enne versiooni 3.6.14 esines viga, mis ei võimaldanud ristallkirjastatud sertifikaate õigesti töödelda, kui mõni allkirjastamiseks kasutatud juursertifikaatidest vananes. , isegi kui teised kehtivad olid säilinud usaldusahelad (Let's Encrypti puhul takistab IdenTrust juursertifikaadi vananemine kontrollimist, isegi kui süsteemil on tugi Let's Encrypti enda juursertifikaadile, mis kehtib kuni 2030. aastani). Vea põhiolemus seisneb selles, et OpenSSL-i ja GnuTLS-i vanemad versioonid sõelusid serdi lineaarse ahelana, samas kui RFC 4158 kohaselt võib sertifikaat esindada suunatud hajutatud ringgraafikut mitme usaldusankruga, mida tuleb arvesse võtta.

Probleemi lahendamiseks soovitatakse süsteemimälust (/etc/ca-certificates.conf ja /etc/ssl/certs) kustutada sertifikaat “DST Root CA X3” ning seejärel käivitada käsk “update -ca-sertifikaadid -f -v" "). CentOS-is ja RHEL-is saate musta nimekirja lisada sertifikaadi “DST Root CA X3”: usaldustõmmis — filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract

Mõned krahhid, mida oleme näinud ja mis toimusid pärast IdenTrusti juursertifikaadi aegumist:

  • OpenBSD-s on binaarsete süsteemivärskenduste installimiseks kasutatav utiliit syspatch lakanud töötamast. OpenBSD projekt andis täna kiiresti välja paigad harudele 6.8 ja 6.9, mis parandavad LibreSSL-i probleeme ristallkirjastatud sertifikaatide kontrollimisel, mille usaldusahela üks juursertifikaatidest on aegunud. Probleemi lahendamiseks on soovitatav lülituda HTTPS-ilt HTTP-le failis /etc/installurl (see ei ohusta turvalisust, kuna värskendusi kontrollib lisaks digitaalallkiri) või valida alternatiivne peegel (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Samuti saate aegunud DST Root CA X3 juursertifikaadi eemaldada failist /etc/ssl/cert.pem.
  • DragonFly BSD-s täheldatakse sarnaseid probleeme ka DPortidega töötamisel. Pkg paketihalduri käivitamisel kuvatakse sertifikaadi kinnitamise tõrge. Parandus lisati täna põhi-, DragonFly_RELEASE_6_0 ja DragonFly_RELEASE_5_8 harudele. Lahendusena saate eemaldada DST Root CA X3 sertifikaadi.
  • Let's Encrypti sertifikaatide kontrollimise protsess Electroni platvormil põhinevates rakendustes on katki. Probleem lahendati värskendustes 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Mõnel distributsioonil on GnuTLS-i teegi vanemate versioonidega seotud APT paketihalduri kasutamisel probleeme pakettide hoidlatele juurdepääsuga. Probleem mõjutas Debian 9, mis kasutas paigatamata GnuTLS-i paketti, mis põhjustas probleeme deb.debian.org-ile juurdepääsul kasutajatel, kes ei installinud värskendust õigeaegselt (pakuti parandust gnutls28-3.5.8-5+deb9u6 17. septembril). Lahendusena on soovitatav eemaldada DST_Root_CA_X3.crt failist /etc/ca-certificates.conf.
  • OPNsense tulemüüride loomise jaotuskomplekti acme-client töö oli häiritud, probleemist teatati ette, kuid arendajad ei jõudnud plaastrit õigel ajal välja anda.
  • Probleem puudutas OpenSSL 1.0.2k paketti RHEL/CentOS 7-s, kuid nädal tagasi genereeriti RHEL 7 ja CentOS 7 jaoks värskendus ca-certificates-2021.2.50-72.el7_9.noarch paketile, millest IdenTrust sertifikaat eemaldati, s.t. probleemi ilming oli eelnevalt blokeeritud. Sarnane värskendus avaldati nädal tagasi Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 ja Ubuntu 18.04 jaoks. Kuna värskendused anti välja eelnevalt, puudutas Let's Encrypti sertifikaatide kontrollimise probleem ainult RHEL/CentOS-i ja Ubuntu vanemate harude kasutajaid, kes värskendusi regulaarselt ei installi.
  • Sertifikaadi kinnitamise protsess grpc-s on katki.
  • Cloudflare Pagesi platvormi koostamine ebaõnnestus.
  • Probleemid teenuses Amazon Web Services (AWS).
  • DigitalOceani kasutajatel on andmebaasiga ühenduse loomisel probleeme.
  • Netlify pilveplatvorm jooksis kokku.
  • Probleemid Xero teenustele juurdepääsuga.
  • Katse luua TLS-ühendus teenuse MailGuni veebi API-ga ebaõnnestus.
  • Kokkujooksmised macOS-i ja iOS-i versioonides (11, 13, 14), mida teoreetiliselt probleem ei tohiks mõjutada.
  • Püügipunkti teenused ebaõnnestusid.
  • Viga sertifikaatide kontrollimisel PostMan API-le juurdepääsul.
  • Guardiani tulemüür jooksis kokku.
  • monday.com tugileht on katki.
  • Cerbi platvorm kukkus kokku.
  • Tööaja kontroll ebaõnnestus rakenduses Google Cloud Monitoring.
  • Probleem Cisco Umbrella Secure Web Gateway sertifikaadi kinnitamisega.
  • Probleemid Bluecoati ja Palo Alto puhverserveritega ühenduse loomisel.
  • OVHcloudil on probleeme OpenStack API-ga ühenduse loomisel.
  • Probleemid aruannete genereerimisel Shopifys.
  • Heroku API-le juurdepääsul on probleeme.
  • Ledger Live Manager jookseb kokku.
  • Sertifikaadi kinnitusviga Facebooki rakenduste arendaja tööriistades.
  • Probleemid Sophos SG UTM-is.
  • Probleemid sertifikaadi kinnitamisega cPanelis.

Allikas: opennet.ru

Lisa kommentaar