منسوخ شدن گواهی ریشه IdenTrust (DST Root CA X3)، که برای امضای متقابل گواهی ریشه Let's Encrypt CA استفاده می شود، باعث ایجاد مشکلاتی در تأیید گواهی Let's Encrypt در پروژه هایی با استفاده از نسخه های قدیمی OpenSSL و GnuTLS شده است. مشکلات همچنین بر کتابخانه LibreSSL تأثیر گذاشت، توسعه دهندگان آن تجربه گذشته مرتبط با خرابی هایی را که پس از منسوخ شدن گواهی ریشه AddTrust CA's Sectigo (Comodo) ایجاد شد، در نظر نگرفتند.
به یاد بیاوریم که در نسخههای OpenSSL تا شاخه 1.0.2 و در GnuTLS قبل از انتشار 3.6.14، باگی وجود داشت که اجازه نمیداد گواهیهای دارای امضای متقاطع به درستی پردازش شوند، اگر یکی از گواهیهای ریشه که برای امضا استفاده میشد قدیمی شود. ، حتی اگر سایر موارد معتبر زنجیره های اعتماد حفظ شده باشند (در مورد Let's Encrypt، منسوخ شدن گواهی ریشه IdenTrust مانع از تأیید می شود، حتی اگر سیستم از گواهی ریشه خود Let's Encrypt پشتیبانی کند که تا سال 2030 معتبر است). اصل این اشکال این است که نسخههای قدیمیتر OpenSSL و GnuTLS گواهی را بهعنوان یک زنجیره خطی تجزیه میکنند، در حالی که طبق RFC 4158، یک گواهی میتواند یک نمودار دایرهای توزیعشده هدایتشده با چندین لنگر اعتماد را نشان دهد که باید در نظر گرفته شوند.
به عنوان یک راه حل برای رفع خرابی، پیشنهاد می شود گواهی "DST Root CA X3" را از حافظه سیستم حذف کنید (/etc/ca-certificates.conf و /etc/ssl/certs)، و سپس دستور "update" را اجرا کنید. -ca-گواهینامه ها -f -v" "). در CentOS و RHEL، میتوانید گواهی "DST Root CA X3" را به لیست سیاه اضافه کنید: Trust dump —filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust استخراج
برخی از خرابیهایی که دیدهایم که پس از انقضای گواهی ریشه IdenTrust رخ دادهاند:
- در OpenBSD، ابزار syspatch که برای نصب بهروزرسانیهای سیستم باینری استفاده میشود، از کار افتاده است. پروژه OpenBSD امروز فوراً وصلههایی را برای شاخههای 6.8 و 6.9 منتشر کرد که مشکلات را در LibreSSL با بررسی گواهیهای دارای امضای متقاطع، که یکی از گواهیهای ریشه در زنجیره اعتماد آن منقضی شده است، برطرف میکند. به عنوان راهحلی برای مشکل، توصیه میشود از HTTPS به HTTP در /etc/installurl تغییر دهید (این کار امنیت را تهدید نمیکند، زیرا بهروزرسانیها علاوه بر این با امضای دیجیتال تأیید میشوند) یا یک آینه جایگزین (ftp.usa.openbsd) انتخاب کنید. org، ftp.hostserver.de، cdn.openbsd.org). همچنین می توانید گواهی ریشه DST Root CA X3 منقضی شده را از فایل /etc/ssl/cert.pem حذف کنید.
- در DragonFly BSD مشکلات مشابهی در هنگام کار با DPport ها مشاهده می شود. هنگام راه اندازی مدیر بسته pkg، یک خطای تأیید گواهی ظاهر می شود. این اصلاح امروز به شاخههای اصلی، DragonFly_RELEASE_6_0 و DragonFly_RELEASE_5_8 اضافه شد. به عنوان یک راه حل، می توانید گواهی DST Root CA X3 را حذف کنید.
- روند بررسی گواهینامه های Let's Encrypt در برنامه های کاربردی مبتنی بر پلت فرم Electron شکسته شده است. این مشکل در به روز رسانی های 12.2.1، 13.5.1، 14.1.0، 15.1.0 رفع شد.
- برخی از توزیع ها هنگام استفاده از مدیر بسته APT مرتبط با نسخه های قدیمی کتابخانه GnuTLS در دسترسی به مخازن بسته مشکل دارند. دبیان 9 تحت تأثیر این مشکل قرار گرفت، که از یک بسته GnuTLS وصلهنشده استفاده میکرد، که منجر به مشکلاتی در هنگام دسترسی به deb.debian.org برای کاربرانی شد که بهروزرسانی را نصب نکردند (اصلاح gnutls28-3.5.8-5+deb9u6 ارائه شد. در 17 سپتامبر). به عنوان یک راه حل، توصیه می شود DST_Root_CA_X3.crt را از فایل /etc/ca-certificates.conf حذف کنید.
- عملکرد acme-client در کیت توزیع برای ایجاد فایروال های OPNsense مختل شد؛ مشکل از قبل گزارش شده بود، اما توسعه دهندگان موفق به انتشار یک وصله به موقع نشدند.
- این مشکل بسته OpenSSL 1.0.2k در RHEL/CentOS 7 را تحت تأثیر قرار داد، اما یک هفته پیش یک بهروزرسانی برای بسته ca-certificates-7-7.el2021.2.50_72.noarch برای RHEL 7 و CentOS 9 ایجاد شد که از آن IdenTrust گواهی حذف شد، یعنی جلوه مشکل از قبل مسدود شده بود. یک بهروزرسانی مشابه یک هفته پیش برای اوبونتو 16.04، اوبونتو 14.04، اوبونتو 21.04، اوبونتو 20.04 و اوبونتو 18.04 منتشر شد. از آنجایی که بهروزرسانیها از قبل منتشر شدهاند، مشکل بررسی گواهیهای Let’s Encrypt فقط بر روی کاربران شاخههای قدیمیتر RHEL/CentOS و اوبونتو تأثیر میگذارد که بهطور منظم بهروزرسانیها را نصب نمیکنند.
- فرآیند تأیید گواهی در grpc خراب است.
- ساخت پلتفرم Cloudflare Pages ناموفق بود.
- مشکلات با خدمات وب آمازون (AWS).
- کاربران DigitalOcean در اتصال به پایگاه داده مشکل دارند.
- پلتفرم ابری نتلیفای از کار افتاده است.
- مشکلات دسترسی به خدمات Xero.
- تلاش برای ایجاد اتصال TLS به Web API سرویس MailGun ناموفق بود.
- خرابی در نسخههای macOS و iOS (11، 13، 14)، که از نظر تئوری نباید تحت تأثیر این مشکل قرار میگرفت.
- خدمات نقطه اتصال ناموفق بود.
- خطا در تأیید گواهی ها هنگام دسترسی به PostMan API.
- فایروال گاردین از کار افتاده است.
- صفحه پشتیبانی monday.com خراب است.
- پلت فرم Cerb سقوط کرده است.
- بررسی Uptime در Google Cloud Monitoring ناموفق بود.
- مشکل تأیید گواهی در Cisco Umbrella Secure Web Gateway.
- مشکل در اتصال به پروکسی های Bluecoat و Palo Alto.
- OVHcloud در اتصال به OpenStack API مشکل دارد.
- مشکلات تولید گزارش در Shopify.
- در دسترسی به API Heroku مشکلاتی وجود دارد.
- Ledger Live Manager خراب می شود.
- خطای تأیید گواهی در Facebook App Developer Tools.
- مشکلات در Sophos SG UTM.
- مشکل در تایید گواهی در سی پنل.
منبع: opennet.ru