ProHoster > وبلاگ > اخبار اینترنتی > خرابی در OpenBSD، DragonFly BSD و Electron به دلیل انقضای گواهی ریشه IdenTrust

خرابی در OpenBSD، DragonFly BSD و Electron به دلیل انقضای گواهی ریشه IdenTrust

منسوخ شدن گواهی ریشه IdenTrust (DST Root CA X3)، که برای امضای متقابل گواهی ریشه Let's Encrypt CA استفاده می شود، باعث ایجاد مشکلاتی در تأیید گواهی Let's Encrypt در پروژه هایی با استفاده از نسخه های قدیمی OpenSSL و GnuTLS شده است. مشکلات همچنین بر کتابخانه LibreSSL تأثیر گذاشت، توسعه دهندگان آن تجربه گذشته مرتبط با خرابی هایی را که پس از منسوخ شدن گواهی ریشه AddTrust CA's Sectigo (Comodo) ایجاد شد، در نظر نگرفتند.

به یاد بیاوریم که در نسخه‌های OpenSSL تا شاخه 1.0.2 و در GnuTLS قبل از انتشار 3.6.14، باگی وجود داشت که اجازه نمی‌داد گواهی‌های دارای امضای متقاطع به درستی پردازش شوند، اگر یکی از گواهی‌های ریشه که برای امضا استفاده می‌شد قدیمی شود. ، حتی اگر سایر موارد معتبر زنجیره های اعتماد حفظ شده باشند (در مورد Let's Encrypt، منسوخ شدن گواهی ریشه IdenTrust مانع از تأیید می شود، حتی اگر سیستم از گواهی ریشه خود Let's Encrypt پشتیبانی کند که تا سال 2030 معتبر است). اصل این اشکال این است که نسخه‌های قدیمی‌تر OpenSSL و GnuTLS گواهی را به‌عنوان یک زنجیره خطی تجزیه می‌کنند، در حالی که طبق RFC 4158، یک گواهی می‌تواند یک نمودار دایره‌ای توزیع‌شده هدایت‌شده با چندین لنگر اعتماد را نشان دهد که باید در نظر گرفته شوند.

به عنوان یک راه حل برای رفع خرابی، پیشنهاد می شود گواهی "DST Root CA X3" را از حافظه سیستم حذف کنید (/etc/ca-certificates.conf و /etc/ssl/certs)، و سپس دستور "update" را اجرا کنید. -ca-گواهینامه ها -f -v" "). در CentOS و RHEL، می‌توانید گواهی "DST Root CA X3" را به لیست سیاه اضافه کنید: Trust dump —filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust استخراج

برخی از خرابی‌هایی که دیده‌ایم که پس از انقضای گواهی ریشه IdenTrust رخ داده‌اند:

  • در OpenBSD، ابزار syspatch که برای نصب به‌روزرسانی‌های سیستم باینری استفاده می‌شود، از کار افتاده است. پروژه OpenBSD امروز فوراً وصله‌هایی را برای شاخه‌های 6.8 و 6.9 منتشر کرد که مشکلات را در LibreSSL با بررسی گواهی‌های دارای امضای متقاطع، که یکی از گواهی‌های ریشه در زنجیره اعتماد آن منقضی شده است، برطرف می‌کند. به عنوان راه‌حلی برای مشکل، توصیه می‌شود از HTTPS به HTTP در /etc/installurl تغییر دهید (این کار امنیت را تهدید نمی‌کند، زیرا به‌روزرسانی‌ها علاوه بر این با امضای دیجیتال تأیید می‌شوند) یا یک آینه جایگزین (ftp.usa.openbsd) انتخاب کنید. org، ftp.hostserver.de، cdn.openbsd.org). همچنین می توانید گواهی ریشه DST Root CA X3 منقضی شده را از فایل /etc/ssl/cert.pem حذف کنید.
  • در DragonFly BSD مشکلات مشابهی در هنگام کار با DPport ها مشاهده می شود. هنگام راه اندازی مدیر بسته pkg، یک خطای تأیید گواهی ظاهر می شود. این اصلاح امروز به شاخه‌های اصلی، DragonFly_RELEASE_6_0 و DragonFly_RELEASE_5_8 اضافه شد. به عنوان یک راه حل، می توانید گواهی DST Root CA X3 را حذف کنید.
  • روند بررسی گواهینامه های Let's Encrypt در برنامه های کاربردی مبتنی بر پلت فرم Electron شکسته شده است. این مشکل در به روز رسانی های 12.2.1، 13.5.1، 14.1.0، 15.1.0 رفع شد.
  • برخی از توزیع ها هنگام استفاده از مدیر بسته APT مرتبط با نسخه های قدیمی کتابخانه GnuTLS در دسترسی به مخازن بسته مشکل دارند. دبیان 9 تحت تأثیر این مشکل قرار گرفت، که از یک بسته GnuTLS وصله‌نشده استفاده می‌کرد، که منجر به مشکلاتی در هنگام دسترسی به deb.debian.org برای کاربرانی شد که به‌روزرسانی را نصب نکردند (اصلاح gnutls28-3.5.8-5+deb9u6 ارائه شد. در 17 سپتامبر). به عنوان یک راه حل، توصیه می شود DST_Root_CA_X3.crt را از فایل /etc/ca-certificates.conf حذف کنید.
  • عملکرد acme-client در کیت توزیع برای ایجاد فایروال های OPNsense مختل شد؛ مشکل از قبل گزارش شده بود، اما توسعه دهندگان موفق به انتشار یک وصله به موقع نشدند.
  • این مشکل بسته OpenSSL 1.0.2k در RHEL/CentOS 7 را تحت تأثیر قرار داد، اما یک هفته پیش یک به‌روزرسانی برای بسته ca-certificates-7-7.el2021.2.50_72.noarch برای RHEL 7 و CentOS 9 ایجاد شد که از آن IdenTrust گواهی حذف شد، یعنی جلوه مشکل از قبل مسدود شده بود. یک به‌روزرسانی مشابه یک هفته پیش برای اوبونتو 16.04، اوبونتو 14.04، اوبونتو 21.04، اوبونتو 20.04 و اوبونتو 18.04 منتشر شد. از آنجایی که به‌روزرسانی‌ها از قبل منتشر شده‌اند، مشکل بررسی گواهی‌های Let’s Encrypt فقط بر روی کاربران شاخه‌های قدیمی‌تر RHEL/CentOS و اوبونتو تأثیر می‌گذارد که به‌طور منظم به‌روزرسانی‌ها را نصب نمی‌کنند.
  • فرآیند تأیید گواهی در grpc خراب است.
  • ساخت پلتفرم Cloudflare Pages ناموفق بود.
  • مشکلات با خدمات وب آمازون (AWS).
  • کاربران DigitalOcean در اتصال به پایگاه داده مشکل دارند.
  • پلتفرم ابری نتلیفای از کار افتاده است.
  • مشکلات دسترسی به خدمات Xero.
  • تلاش برای ایجاد اتصال TLS به Web API سرویس MailGun ناموفق بود.
  • خرابی در نسخه‌های macOS و iOS (11، 13، 14)، که از نظر تئوری نباید تحت تأثیر این مشکل قرار می‌گرفت.
  • خدمات نقطه اتصال ناموفق بود.
  • خطا در تأیید گواهی ها هنگام دسترسی به PostMan API.
  • فایروال گاردین از کار افتاده است.
  • صفحه پشتیبانی monday.com خراب است.
  • پلت فرم Cerb سقوط کرده است.
  • بررسی Uptime در Google Cloud Monitoring ناموفق بود.
  • مشکل تأیید گواهی در Cisco Umbrella Secure Web Gateway.
  • مشکل در اتصال به پروکسی های Bluecoat و Palo Alto.
  • OVHcloud در اتصال به OpenStack API مشکل دارد.
  • مشکلات تولید گزارش در Shopify.
  • در دسترسی به API Heroku مشکلاتی وجود دارد.
  • Ledger Live Manager خراب می شود.
  • خطای تأیید گواهی در Facebook App Developer Tools.
  • مشکلات در Sophos SG UTM.
  • مشکل در تایید گواهی در سی پنل.

منبع: opennet.ru

اضافه کردن نظر