Mar gheall ar dhímheas an deimhnithe fréimhe IdenTrust (DST Root CA X3), a úsáidtear chun an teastas fréimhe Let's Encrypt CA a thras-shíniú, tá fadhbanna ann le fíorú teastais Let's Encrypt i dtionscadail a úsáideann leaganacha níos sine de OpenSSL agus GnuTLS. Bhí tionchar freisin ag fadhbanna ar leabharlann LibreSSL, nár chuir a forbróirí san áireamh taithí san am atá caite a bhaineann le teipeanna a tháinig chun cinn tar éis do dheimhniú fréimhe AddTrust CA Sectigo (Comodo) dul i léig.
Meabhraímid go raibh fabht ann i gcás eisiúintí OpenSSL suas go dtí brainse 1.0.2 san áireamh agus i GnuTLS roimh scaoileadh 3.6.14, nár cheadaigh próiseáil cheart ar dheimhnithe tras-sínithe má d'éirigh le ceann de na deimhnithe fréimhe a úsáideadh le haghaidh sínithe a bheith as dáta. , fiú amháin dá mba slabhraí muiníne leasaithe cinn bhailí eile (i gcás Let's Encrypt, seachnaíonn dífheidhmeacht an deimhnithe fréimhe IdenTrust fíorú, fiú má tá tacaíocht ag an gcóras do fhréamh-dheimhniú Let's Encrypt, bailí go dtí 2030). Is é brí na fabht ná gur pharsáil leaganacha níos sine de OpenSSL agus GnuTLS an deimhniú mar shlabhra líneach, agus de réir RFC 4158, is féidir le deimhniú graf ciorclach dáilte faoi threoir a léiriú le il-ancairí iontaobhais nach mór a chur san áireamh.
Mar réiteach chun an teip a réiteach, tá sé beartaithe an teastas “DST Root CA X3” a scriosadh ó stóráil an chórais (/etc/ca-certificates.conf agus /etc/ssl/certs), agus ansin an t-ordú “nuashonrú a rith -ca-teastais -f -v”). Ar CentOS agus RHEL, is féidir leat an teastas “DST Root CA X3” a chur leis an liosta dubh: dumpáil iontaobhais —scagaire “pkcs11: id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | osclaíonn x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sliocht sudo update-ca-trust
Roinnt de na tuairteanna atá feicthe againn a tharla tar éis don teastas fréimhe IdenTrust dul in éag:
- In OpenBSD, tá an áirgiúlacht syspatch, a úsáidtear chun nuashonruithe córais dénártha a shuiteáil, stoptha ag obair. D'eisigh tionscadal OpenBSD inniu paistí go práinneach do bhrainsí 6.8 agus 6.9 a shocraíonn fadhbanna i LibreSSL le deimhnithe tras-sínithe a sheiceáil, ceann de na deimhnithe fréamhacha sa slabhra iontaobhais atá imithe in éag. Mar réiteach don fhadhb, moltar aistriú ó HTTPS go HTTP in /etc/installurl (ní chuireann sé seo bagairt ar shlándáil, ós rud é go ndéantar nuashonruithe a fhíorú freisin le síniú digiteach) nó scáthán eile a roghnú (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Is féidir leat freisin an teastas fréimhe DST Root CA X3 imithe in éag a bhaint as an gcomhad /etc/ssl/cert.pem.
- I DragonFly BSD, breathnaítear fadhbanna comhchosúla agus iad ag obair le DPorts. Nuair a thosaíonn an bainisteoir pacáiste pkg, feictear earráid fíoraithe teastais. Cuireadh an socrú leis an máistir, DragonFly_RELEASE_6_0 agus DragonFly_RELEASE_5_8 inniu. Mar réiteach oibre, is féidir leat an teastas DST Root CA X3 a bhaint.
- Tá an próiseas chun deimhnithe Let's Encrypt a fhíorú in iarratais atá bunaithe ar an ardán Electron briste. Socraíodh an fhadhb i nuashonruithe 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Bíonn fadhbanna ag roinnt dáileacháin le rochtain a fháil ar stórtha pacáiste agus an bainisteoir pacáiste APT a bhaineann le leaganacha níos sine de leabharlann GnuTLS in úsáid. Bhí tionchar ag an bhfadhb ar Debian 9, a d’úsáid pacáiste GnuTLS neamhphasáilte, rud a d’eascair fadhbanna le linn rochtain a fháil ar deb.debian.org d’úsáideoirí nár shuiteáil an nuashonrú in am (tairgeadh an deisiú gnutls28-3.5.8-5+deb9u6 ar 17 Meán Fómhair). Mar réiteach oibre, moltar DST_Root_CA_X3.crt a bhaint as an gcomhad /etc/ca-certificates.conf.
- Cuireadh isteach ar oibriú acme-client sa trealamh dáileacháin chun ballaí dóiteáin OPNsense a chruthú; tuairiscíodh an fhadhb roimh ré, ach níor éirigh leis na forbróirí paiste a scaoileadh in am.
- Chuir an fhadhb isteach ar an bpacáiste OpenSSL 1.0.2k i RHEL/CentOS 7, ach seachtain ó shin gineadh nuashonrú ar an bpacáiste ca-certificates-7-7.el2021.2.50_72.noarch do RHEL 7 agus CentOS 9, ónar tháinig an IdenTrust baineadh an teastas, i.e. cuireadh bac ar léiriú na faidhbe roimh ré. Foilsíodh nuashonrú den chineál céanna seachtain ó shin le haghaidh Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 agus Ubuntu 18.04. Ós rud é gur scaoileadh na nuashonruithe roimh ré, níor chuir an fhadhb le seiceáil deimhnithe Let's Encrypt isteach ach ar úsáideoirí brainsí níos sine RHEL / CentOS agus Ubuntu nach shuiteálann nuashonruithe go rialta.
- Tá an próiseas fíoraithe teastais in grpc briste.
- Theip ar thógáil ardáin Cloudflare Pages.
- Saincheisteanna i Seirbhísí Gréasáin Amazon (AWS).
- Bíonn fadhbanna ag úsáideoirí DigitalOcean nascadh leis an mbunachar sonraí.
- Tá ardán scamall Netlify tuairteála.
- Fadhbanna le rochtain a fháil ar sheirbhísí Xero.
- Theip ar iarracht nasc TLS a bhunú le API Gréasáin na seirbhíse MailGun.
- Tuairteanna i leaganacha de macOS agus iOS (11, 13, 14), nár cheart go mbeadh tionchar teoiriciúil ag an bhfadhb orthu.
- Theip ar sheirbhísí Catchpoint.
- Earráid agus teastais á bhfíorú agus rochtain á fáil agat ar PostMan API.
- Tá Balla Dóiteáin Guardian tuairteála.
- Tá an leathanach tacaíochta monday.com briste.
- Tá ardán Cerb tuairteála.
- Theip ar sheiceáil Aga fónaimh in Google Cloud Monitoring.
- Eisiúint le fíorú teastais i nGeata Gréasáin Slán Umbrella Cisco.
- Fadhbanna ag nascadh le seachvótálaithe Bluecoat agus Palo Alto.
- Tá fadhbanna ag OVHcloud nascadh leis an OpenStack API.
- Fadhbanna le tuarascálacha a ghiniúint i Shopify.
- Tá fadhbanna le rochtain a fháil ar an API Heroku.
- Tuairteanna Bainisteoir Ledger Live.
- Earráid fíoraithe teastais in Uirlisí Forbróirí App Facebook.
- Fadhbanna i Sophos SG UTM.
- Fadhbanna le fíorú teastais i cPanel.
Foinse: oscailtenet.ru