De ôfskriuwing fan it IdenTrust-rootsertifikaat (DST Root CA X3), brûkt om it Let's Encrypt CA-rootsertifikaat te krústekenjen, hat problemen feroarsake mei Let's Encrypt-sertifikaatferifikaasje yn projekten dy't âldere ferzjes fan OpenSSL en GnuTLS brûke. Problemen beynfloede ek de LibreSSL-bibleteek, wêrfan de ûntwikkelders gjin rekken holden mei ferline ûnderfining ferbûn mei mislearrings dy't ûntstienen nei't it AddTrust-rootsertifikaat fan 'e Sectigo (Comodo) CA ferâldere waard.
Lit ús ûnthâlde dat yn OpenSSL releases oant branch 1.0.2 ynklusyf en yn GnuTLS foar release 3.6.14, d'r in brek wie dy't net tastean dat krús-ûndertekene sertifikaten korrekt wurde ferwurke as ien fan 'e root-sertifikaten brûkt foar ûndertekening ferâldere waard , sels as oare jildige keatlingen fan fertrouwen bewarre bleaun binne (yn it gefal fan Let's Encrypt, de ferâldering fan it rootsertifikaat fan IdenTrust foarkomt ferifikaasje, sels as it systeem stipe hat foar it eigen rootsertifikaat fan Let's Encrypt, jildich oant 2030). De essinsje fan 'e brek is dat âldere ferzjes fan OpenSSL en GnuTLS it sertifikaat as in lineêre keten parsearden, wylst neffens RFC 4158 in sertifikaat in rjochte ferspraat sirkulêre grafyk kin fertsjintwurdigje mei meardere fertrouwenankers dy't rekken holden wurde moatte.
As oplossing om de mislearring op te lossen, wurdt foarsteld om it sertifikaat "DST Root CA X3" te wiskjen fan 'e systeemopslach (/etc/ca-certificates.conf en /etc/ssl/certs), en dan it kommando "update" út te fieren. -ca-sertifikaten -f -v" "). Op CentOS en RHEL kinne jo it sertifikaat "DST Root CA X3" tafoegje oan 'e swarte list: trust dump -filter "pkcs11: id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
Guon fan 'e crashes dy't wy hawwe sjoen dy't barde nei't it IdenTrust-rootsertifikaat ferrûn:
- Yn OpenBSD is it syspatch-hulpprogramma, brûkt om binêre systeemupdates te ynstallearjen, ophâlden te wurkjen. It OpenBSD-projekt hat hjoed driuwend patches frijlitten foar tûken 6.8 en 6.9 dy't problemen reparearje yn LibreSSL mei it kontrolearjen fan cross-signed sertifikaten, ien fan 'e root-sertifikaten yn' e trustketen wêrfan ferrûn is. As oplossing foar it probleem is it oan te rieden om te wikseljen fan HTTPS nei HTTP yn /etc/installurl (dit bedriget de feiligens net, om't updates ek wurde ferifiearre troch in digitale hantekening) of selektearje in alternative spegel (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Jo kinne ek it ferrûne DST Root CA X3 root-sertifikaat fuortsmite fan it /etc/ssl/cert.pem-bestân.
- Yn DragonFly BSD wurde ferlykbere problemen waarnommen by it wurkjen mei DPorts. By it starten fan de pkg-pakketbehearder ferskynt in sertifikaatferifikaasjeflater. De fix is hjoed tafoege oan de master, DragonFly_RELEASE_6_0 en DragonFly_RELEASE_5_8 tûken. As oplossing kinne jo it DST Root CA X3-sertifikaat fuortsmite.
- It proses fan it ferifiearjen fan Let's Encrypt-sertifikaten yn applikaasjes basearre op it Electron-platfoarm is brutsen. It probleem waard fêst yn updates 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Guon distribúsjes hawwe problemen mei tagong ta pakketrepositories by it brûken fan de APT-pakketbehearder ferbûn mei âldere ferzjes fan 'e GnuTLS-bibleteek. Debian 9 waard beynfloede troch it probleem, dat in net patched GnuTLS-pakket brûkte, wat late ta problemen by tagong ta deb.debian.org foar brûkers dy't de fernijing net op 'e tiid ynstalleare (de gnutls28-3.5.8-5+deb9u6-fix waard oanbean op 17 septimber). As in oplossing is it oan te rieden om DST_Root_CA_X3.crt te ferwiderjen fan it /etc/ca-certificates.conf-bestân.
- De wurking fan acme-client yn 'e distribúsjekit foar it meitsjen fan OPNsense-firewalls waard fersteurd; it probleem waard yn 't foar rapportearre, mar de ûntwikkelders slagge it net om in patch yn' e tiid frij te litten.
- It probleem beynfloede it OpenSSL 1.0.2k-pakket yn RHEL/CentOS 7, mar in wike lyn waard in update foar de ca-sertifikaten-7-7.el2021.2.50_72.noarch-pakket generearre foar RHEL 7 en CentOS 9, wêrfan de IdenTrust sertifikaat waard fuorthelle, d.w.s. de manifestaasje fan it probleem waard foarôf blokkearre. In ferlykbere fernijing waard in wike lyn publisearre foar Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 en Ubuntu 18.04. Sûnt de updates fan tefoaren waarden frijlitten, beynfloede it probleem mei it kontrolearjen fan Let's Encrypt-sertifikaten allinich brûkers fan âldere tûken fan RHEL/CentOS en Ubuntu dy't net regelmjittich updates ynstallearje.
- It sertifikaatferifikaasjeproses yn grpc is brutsen.
- Cloudflare Pages-platfoarmbou mislearre.
- Problemen yn Amazon Web Services (AWS).
- DigitalOcean-brûkers hawwe problemen mei ferbining mei de databank.
- It Netlify-wolkplatfoarm is ferûngelokke.
- Problemen mei tagong ta Xero-tsjinsten.
- In besykjen om in TLS-ferbining te meitsjen mei de Web API fan de MailGun-tsjinst mislearre.
- Crashes yn ferzjes fan macOS en iOS (11, 13, 14), dy't teoretysk net moatte wurde beynfloede troch it probleem.
- Catchpoint tsjinsten mislearre.
- Flater by it ferifiearjen fan sertifikaten by tagong ta PostMan API.
- Guardian Firewall is ferûngelokke.
- De monday.com-stipeside is brutsen.
- It Cerb-platfoarm is ferûngelokke.
- Uptime kontrôle mislearre yn Google Cloud Monitoring.
- Kwestje mei sertifikaat ferifikaasje yn Cisco Umbrella Secure Web Gateway.
- Problemen by it ferbinen mei Bluecoat en Palo Alto proxies.
- OVHcloud hat problemen mei ferbining mei de OpenStack API.
- Problemen mei it generearjen fan rapporten yn Shopify.
- D'r binne problemen mei tagong ta de Heroku API.
- Ledger Live Manager crasht.
- Sertifikaatferifikaasjeflater yn Facebook App Developer Tools.
- Problemen yn Sophos SG UTM.
- Problemen mei sertifikaatferifikaasje yn cPanel.
Boarne: opennet.ru