ProHoster > Blog > naidheachdan eadar-lìn > Tubaistean ann an OpenBSD, DragonFly BSD agus Electron mar thoradh air teisteanas freumh IdenTrust a’ tighinn gu crìch

Tubaistean ann an OpenBSD, DragonFly BSD agus Electron mar thoradh air teisteanas freumh IdenTrust a’ tighinn gu crìch

Tha ìsleachadh an teisteanais freumh IdenTrust (DST Root CA X3), a chaidh a chleachdadh gus tar-soidhnigeadh an teisteanas freumh Let's Encrypt CA, air duilgheadasan adhbhrachadh le dearbhadh teisteanais Let's Encrypt ann am pròiseactan a’ cleachdadh tionndaidhean nas sine de OpenSSL agus GnuTLS. Thug trioblaidean buaidh cuideachd air leabharlann LibreSSL, agus cha tug an luchd-leasachaidh aire do eòlas san àm a dh'fhalbh co-cheangailte ri fàilligidhean a dh'èirich às dèidh do theisteanas freumha AddTrust CA Sectigo (Comodo) a dhol à bith.

Cuimhnichidh sinn ann an sgaoilidhean OpenSSL suas gu meur 1.0.2 in-ghabhalach agus ann an GnuTLS mus deach 3.6.14 a leigeil ma sgaoil, bha buga ann nach do leig le teisteanasan tar-shoidhnichte a bhith air an giullachd gu ceart ma dh’ fhàs aon de na teisteanasan freumha a chaidh a chleachdadh airson soidhnigeadh seann-fhasanta. , eadhon ged a bhiodh slabhraidhean earbsa glèidhte aig feadhainn dhligheach eile (a thaobh Let's Encrypt, tha crìonadh an teisteanais freumh IdenTrust a’ cur casg air dearbhadh, eadhon ged a tha taic aig an t-siostam airson teisteanas freumh Let's Encrypt fhèin, dligheach gu 2030). Is e brìgh a’ bhiast gu bheil dreachan nas sine de OpenSSL agus GnuTLS air an teisteanas a pharsadh mar shlabhraidh sreathach, agus a rèir RFC 4158, faodaidh teisteanas graf cruinn sgaoilte stiùirichte a riochdachadh le ioma acraichean earbsa a dh’ fheumar a thoirt fa-near.

Mar fhuasgladh gus an teip fhuasgladh, thathas a’ moladh an teisteanas “DST Root CA X3” a dhubhadh às bho stòradh an t-siostaim (/etc/ca-certificates.conf agus /etc/ssl/certs), agus an uairsin ruith an àithne “ùrachadh -ca-teisteanasan -f -v”). Air CentOS agus RHEL, faodaidh tu an teisteanas “DST Root CA X3” a chur ris an liosta dhubh: dump trust —filter “pkcs11: id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | fosgladh x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem earrann ùrachadh sudo-ca-trust

Cuid de na tubaistean a chunnaic sinn a thachair às dèidh do theisteanas freumh IdenTrust tighinn gu crìch:

  • Ann an OpenBSD, tha an goireas syspatch, a chleachdar gus ùrachaidhean siostam dà-chànanach a chuir a-steach, air stad a bhith ag obair. Chuir am pròiseact OpenBSD an-diugh a-mach gu h-èiginneach pìosan airson meuran 6.8 agus 6.9 a shocraicheas duilgheadasan ann an LibreSSL le bhith a’ sgrùdadh theisteanasan tar-shoidhnichte, agus tha aon de na teisteanasan bunaiteach anns an t-sreath earbsa aca air tighinn gu crìch. Mar fhuasgladh airson an duilgheadas, thathas a’ moladh gluasad bho HTTPS gu HTTP ann an /etc/installurl (chan eil seo a’ bagairt tèarainteachd, leis gu bheil ùrachaidhean air an dearbhadh a bharrachd le ainm-sgrìobhte didseatach) no tagh sgàthan eile (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Faodaidh tu cuideachd an teisteanas freumh DST Root CA X3 a dh’ fhalbh a thoirt air falbh bhon fhaidhle /etc/ssl/cert.pem.
  • Ann an DragonFly BSD, thathas a’ cumail ri duilgheadasan coltach ris nuair a bhios tu ag obair le DPorts. Nuair a thòisicheas tu am manaidsear pacaid pkg, nochdaidh mearachd dearbhaidh teisteanais. Chaidh am fuasgladh a chuir ris a’ mhaighstir an-diugh, DragonFly_RELEASE_6_0 agus DragonFly_RELEASE_5_8 meuran. Mar dhòigh-obrach, faodaidh tu an teisteanas DST Root CA X3 a thoirt air falbh.
  • Tha am pròiseas airson dearbhadh teisteanasan Let's Encrypt ann an tagraidhean stèidhichte air an àrd-ùrlar Electron briste. Chaidh an duilgheadas a rèiteachadh ann an ùrachaidhean 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Tha duilgheadas aig cuid de sgaoilidhean faighinn gu stòran pacaid nuair a bhios iad a’ cleachdadh manaidsear pacaid APT co-cheangailte ri dreachan nas sine de leabharlann GnuTLS. Thug an duilgheadas buaidh air Debian 9, a chleachd pasgan GnuTLS neo-leasaichte, a dh’ adhbhraich duilgheadasan nuair a bha iad a’ faighinn cothrom air deb.debian.org dha luchd-cleachdaidh nach do chuir a-steach an t-ùrachadh ann an tìde (chaidh am fuasgladh gnutls28-3.5.8-5+deb9u6 a thabhann). air 17 Sultain). Mar dhòigh-obrach, thathas a’ moladh DST_Root_CA_X3.crt a thoirt air falbh bhon fhaidhle /etc/ca-certificates.conf.
  • Chaidh dragh a chuir air gnìomhachd acme-client anns a’ ghoireas cuairteachaidh airson ballachan teine ​​​​OPNsense a chruthachadh; chaidh aithris air an duilgheadas ro-làimh, ach cha deach aig an luchd-leasachaidh air bad a leigeil ma sgaoil ann an ùine.
  • Thug an duilgheadas buaidh air pasgan OpenSSL 1.0.2k ann an RHEL / CentOS 7, ach o chionn seachdain chaidh ùrachadh don phasgan ca-certificates-7-7.el2021.2.50_72.noarch a chruthachadh airson RHEL 7 agus CentOS 9, às an tàinig an IdenTrust chaidh an teisteanas a thoirt air falbh, i.e. chaidh foillseachadh na duilgheadas a bhacadh ro-làimh. Chaidh ùrachadh coltach ris fhoillseachadh o chionn seachdain airson Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 agus Ubuntu 18.04. Bho chaidh na h-ùrachaidhean fhoillseachadh ro-làimh, thug an duilgheadas le bhith a’ sgrùdadh theisteanasan Let's Encrypt buaidh air dìreach luchd-cleachdaidh seann mheuran de RHEL / CentOS agus Ubuntu nach bi a’ stàladh ùrachaidhean gu cunbhalach.
  • Tha am pròiseas dearbhaidh teisteanais ann an grpc briste.
  • Dh'fhàillig togail àrd-ùrlair Cloudflare Pages.
  • Cùisean ann an Seirbheisean Lìn Amazon (AWS).
  • Tha duilgheadasan aig luchd-cleachdaidh DigitalOcean ceangal ris an stòr-dàta.
  • Tha àrd-ùrlar sgòthan Netlify air tuiteam às a chèile.
  • Duilgheadasan a' faighinn cothrom air seirbheisean Xero.
  • Dh'fhàillig oidhirp gus ceangal TLS a stèidheachadh ri Web API seirbheis MailGun.
  • Tubaistean ann an dreachan de macOS agus iOS (11, 13, 14), nach bu chòir gu teòiridheach a bhith air buaidh a thoirt air an duilgheadas.
  • Dh'fhàillig seirbheisean Catchpoint.
  • Thachair mearachd le dearbhadh theisteanasan nuair a gheibh thu cothrom air PostMan API.
  • Tha Balla-teine ​​​​Guardian air tuiteam às a chèile.
  • Tha duilleag taic monday.com briste.
  • Tha an àrd-ùrlar Cerb air tuiteam às a chèile.
  • Dh'fhàillig sgrùdadh uptime ann an Google Cloud Monitoring.
  • Cùis le dearbhadh teisteanais ann an Cisco Umbrella Secure Web Gateway.
  • Duilgheadasan le ceangal ri luchd-ionaid Bluecoat agus Palo Alto.
  • Tha duilgheadas aig OVHcloud ceangal ris an OpenStack API.
  • Duilgheadasan le bhith a’ gineadh aithisgean ann an Shopify.
  • Tha duilgheadasan ann faighinn gu API Heroku.
  • Tha Ledger Live Manager a’ tuiteam.
  • Mearachd dearbhaidh teisteanais ann an Innealan Leasachaidh App Facebook.
  • Duilgheadasan ann an Sophos SG UTM.
  • Duilgheadasan le dearbhadh teisteanais ann an cPanel.

Source: fosgailtenet.ru

Cuir beachd ann