ProHoster > Blogi > netin uutisia > OpenBSD:n, DragonFly BSD:n ja Electronin kaatumiset IdenTrust-juurivarmenteen vanhenemisen vuoksi

OpenBSD:n, DragonFly BSD:n ja Electronin kaatumiset IdenTrust-juurivarmenteen vanhenemisen vuoksi

Let's Encrypt CA -juurivarmenteen ristiinallekirjoitukseen käytetyn IdenTrust-juurivarmenteen (DST Root CA X3) vanhentuminen on aiheuttanut ongelmia Let's Encrypt -sertifikaatin varmentamisessa projekteissa, joissa käytetään OpenSSL:n ja GnuTLS:n vanhempia versioita. Ongelmat koskivat myös LibreSSL-kirjastoa, jonka kehittäjät eivät ottaneet huomioon aiempia kokemuksia, jotka liittyivät Sectigo (Comodo) CA:n AddTrust-juurivarmenteen vanhentuttua syntyneisiin vioista.

Muistetaan, että OpenSSL-julkaisuissa haaraan 1.0.2 asti ja GnuTLS:ssä ennen julkaisua 3.6.14 esiintyi virhe, joka ei sallinut ristiin allekirjoitettujen varmenteiden käsittelyä oikein, jos jokin allekirjoittamiseen käytetyistä juurivarmenteista vanhentui , vaikka muut kelvolliset säilyisivätkin luottamusketjuja (Let's Encryptin tapauksessa IdenTrust-juurivarmenteen vanhentuminen estää varmentamisen, vaikka järjestelmässä olisi tuki Let's Encryptin omalle, vuoteen 2030 asti voimassa olevalle juurivarmenteelle). Virheen ydin on, että OpenSSL:n ja GnuTLS:n vanhemmat versiot jäsensivät varmenteen lineaarisena ketjuna, kun taas RFC 4158:n mukaan varmenne voi edustaa suunnattua hajautettua ympyräkaaviota, jossa on useita luottamusankkureita, jotka on otettava huomioon.

Ongelman ratkaisemiseksi ehdotetaan "DST Root CA X3" -sertifikaatin poistamista järjestelmämuistista (/etc/ca-certificates.conf ja /etc/ssl/certs) ja sitten komento "update". -ca-sertifikaatit -f -v" "). CentOS:ssä ja RHEL:ssä voit lisätä "DST Root CA X3" -varmenteen mustalle listalle: Trust dump -suodatin "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust ote

Jotkut havaitsemistamme kaatumisista, jotka tapahtuivat IdenTrust-juurivarmenteen vanhenemisen jälkeen:

  • OpenBSD:ssä syspatch-apuohjelma, jota käytetään binäärijärjestelmän päivitysten asentamiseen, on lakannut toimimasta. OpenBSD-projekti julkaisi tänään kiireellisesti korjaustiedostot haaroihin 6.8 ja 6.9, jotka korjaavat LibreSSL:n ongelmia ristiin allekirjoitettujen varmenteiden tarkistamisessa, joiden luottamusketjun yksi juurivarmenteista on vanhentunut. Ongelman ratkaisemiseksi on suositeltavaa vaihtaa HTTPS:stä HTTP:hen tiedostossa /etc/installurl (tämä ei uhkaa turvallisuutta, koska päivitykset varmistetaan lisäksi digitaalisella allekirjoituksella) tai valitse vaihtoehtoinen peili (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Voit myös poistaa vanhentuneen DST Root CA X3 -juurivarmenteen /etc/ssl/cert.pem-tiedostosta.
  • DragonFly BSD:ssä samanlaisia ​​ongelmia havaitaan työskenneltäessä DPortien kanssa. Kun pkg-pakettienhallinta käynnistetään, näkyviin tulee varmenteen vahvistusvirhe. Korjaus lisättiin tänään päähaaroihin, DragonFly_RELEASE_6_0 ja DragonFly_RELEASE_5_8. Kiertotavana voit poistaa DST Root CA X3 -varmenteen.
  • Let's Encrypt -sertifikaattien varmistusprosessi Electron-alustaan ​​perustuvissa sovelluksissa on rikki. Ongelma korjattiin päivityksillä 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Joillakin jakeluilla on ongelmia pakettivarastojen käytössä, kun käytetään GnuTLS-kirjaston vanhempiin versioihin liittyvää APT-paketinhallintaa. Ongelma vaikutti Debian 9:ään, joka käytti korjaamatonta GnuTLS-pakettia, mikä johti ongelmiin käytettäessä deb.debian.org-sivustoa käyttäjille, jotka eivät asentaneet päivitystä ajoissa (tarjottiin korjaus gnutls28-3.5.8-5+deb9u6 syyskuun 17. päivänä). Kiertokeinona on suositeltavaa poistaa DST_Root_CA_X3.crt /etc/ca-certificates.conf-tiedostosta.
  • ACme-clientin toiminta jakelupaketissa OPNsense-palomuurien luomiseen häiriintyi, ongelmasta ilmoitettiin etukäteen, mutta kehittäjät eivät päässeet julkaisemaan korjaustiedostoa ajoissa.
  • Ongelma koski OpenSSL 1.0.2k -pakettia RHEL/CentOS 7:ssä, mutta viikko sitten luotiin päivitys ca-certificates-7-7.el2021.2.50_72.noarch-pakettiin RHEL 7:lle ja CentOS 9:lle, josta IdenTrust todistus poistettiin, ts. ongelman ilmentyminen estettiin etukäteen. Samanlainen päivitys julkaistiin viikko sitten Ubuntu 16.04:lle, Ubuntu 14.04:lle, Ubuntu 21.04:lle, Ubuntu 20.04:lle ja Ubuntu 18.04:lle. Koska päivitykset julkaistiin etukäteen, Let's Encrypt -varmenteiden tarkistusongelma koski vain RHEL/CentOS:n ja Ubuntun vanhempien osien käyttäjiä, jotka eivät asenna päivityksiä säännöllisesti.
  • Varmenteen vahvistusprosessi grpc:ssä on rikki.
  • Cloudflare Pages -alustan rakennus epäonnistui.
  • Ongelmia Amazon Web Servicesissä (AWS).
  • DigitalOcean-käyttäjillä on ongelmia yhteyden muodostamisessa tietokantaan.
  • Netlify-pilvialusta on kaatunut.
  • Ongelmia Xeron palvelujen käytössä.
  • Yritys muodostaa TLS-yhteys MailGun-palvelun Web-sovellusliittymään epäonnistui.
  • Kaatumiset macOS- ja iOS-versioissa (11, 13, 14), joihin ongelman ei olisi teoriassa pitänyt vaikuttaa.
  • Catchpoint-palvelut epäonnistuivat.
  • Virhe varmenteita käytettäessä PostMan API:ta käytettäessä.
  • Guardian Firewall on kaatunut.
  • monday.com-tukisivu on rikki.
  • Cerbin alusta on kaatunut.
  • Käyttöajan tarkistus epäonnistui Google Cloud Monitoringissa.
  • Ongelma Cisco Umbrella Secure Web Gatewayn varmenteen vahvistamisessa.
  • Ongelmia yhdistämisessä Bluecoat- ja Palo Alto -välityspalvelimiin.
  • OVHcloudilla on ongelmia yhteyden muodostamisessa OpenStack API:hen.
  • Ongelmia raporttien luomisessa Shopifyssa.
  • Heroku API:n käytössä on ongelmia.
  • Ledger Live Manager kaatuu.
  • Varmenteen vahvistusvirhe Facebook App Developer Toolsissa.
  • Ongelmia Sophos SG UTM:ssä.
  • Ongelmia sertifikaatin vahvistamisessa cPanelissa.

Lähde: opennet.ru

Lisää kommentti