A desaprobación do certificado raíz de IdenTrust (DST Root CA X3), usado para asinar cruzadamente o certificado raíz de Let's Encrypt CA, provocou problemas coa verificación do certificado de Let's Encrypt en proxectos que usan versións antigas de OpenSSL e GnuTLS. Os problemas tamén afectaron á biblioteca LibreSSL, cuxos desenvolvedores non tiveron en conta a experiencia pasada asociada aos fallos que xurdiron despois de que o certificado raíz AddTrust da Sectigo (Comodo) CA quedou obsoleto.
Lembremos que nas versións de OpenSSL ata a rama 1.0.2 inclusive e en GnuTLS antes da versión 3.6.14, houbo un erro que non permitía procesar correctamente os certificados con sinatura cruzada se un dos certificados raíz utilizados para asinar quedaba obsoleto. , aínda que outras válidas se conservasen cadeas de confianza (no caso de Let's Encrypt, a obsolescencia do certificado raíz de IdenTrust impide a verificación, aínda que o sistema teña soporte para o propio certificado raíz de Let's Encrypt, válido ata 2030). O principal do erro é que as versións máis antigas de OpenSSL e GnuTLS analizaron o certificado como unha cadea lineal, mentres que segundo o RFC 4158, un certificado pode representar un gráfico circular distribuído dirixido con múltiples ancoraxes de confianza que hai que ter en conta.
Como solución alternativa para resolver o fallo, proponse eliminar o certificado "DST Root CA X3" do almacenamento do sistema (/etc/ca-certificates.conf e /etc/ssl/certs) e, a continuación, executar o comando "update". -ca-certificates -f -v” "). En CentOS e RHEL, pode engadir o certificado "DST Root CA X3" á lista negra: trust dump -filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
Algúns dos fallos que vimos ocorreron despois de que caducou o certificado raíz de IdenTrust:
- En OpenBSD, a utilidade syspatch, usada para instalar actualizacións do sistema binario, deixou de funcionar. O proxecto OpenBSD lanzou hoxe de urxencia parches para as ramas 6.8 e 6.9 que solucionan problemas en LibreSSL coa comprobación de certificados con sinatura cruzada, un dos certificados raíz da cadea de confianza dos cales caducou. Como solución ao problema, recoméndase cambiar de HTTPS a HTTP en /etc/installurl (isto non ameaza a seguridade, xa que as actualizacións son verificadas adicionalmente mediante unha sinatura dixital) ou seleccionar un espello alternativo (ftp.usa.openbsd). org, ftp.hostserver.de, cdn.openbsd.org). Tamén pode eliminar o certificado raíz DST Root CA X3 caducado do ficheiro /etc/ssl/cert.pem.
- En DragonFly BSD, obsérvanse problemas similares cando se traballa con DPorts. Ao iniciar o xestor de paquetes pkg, aparece un erro de verificación do certificado. A corrección engadiuse hoxe ás ramas mestra, DragonFly_RELEASE_6_0 e DragonFly_RELEASE_5_8. Como solución alternativa, pode eliminar o certificado DST Root CA X3.
- O proceso de verificación dos certificados Let's Encrypt en aplicacións baseadas na plataforma Electron está roto. O problema solucionouse nas actualizacións 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Algunhas distribucións teñen problemas para acceder aos repositorios de paquetes ao usar o xestor de paquetes APT asociado con versións antigas da biblioteca GnuTLS. Debian 9 viuse afectado polo problema, que utilizaba un paquete GnuTLS sen parches, o que provocou problemas ao acceder a deb.debian.org para os usuarios que non instalaron a actualización a tempo (ofreceuse a corrección gnutls28-3.5.8-5+deb9u6). o 17 de setembro). Como solución alternativa, recoméndase eliminar DST_Root_CA_X3.crt do ficheiro /etc/ca-certificates.conf.
- O funcionamento de acme-client no kit de distribución para a creación de firewalls OPNsense foi interrompido; o problema foi informado de antemán, pero os desenvolvedores non lograron lanzar un parche a tempo.
- O problema afectou ao paquete OpenSSL 1.0.2k en RHEL/CentOS 7, pero hai unha semana xerou unha actualización do paquete ca-certificates-7-7.el2021.2.50_72.noarch para RHEL 7 e CentOS 9, a partir da cal o IdenTrust eliminouse o certificado, é dicir. bloqueouse previamente a manifestación do problema. Hai unha semana publicouse unha actualización similar para Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 e Ubuntu 18.04. Dado que as actualizacións foron publicadas con antelación, o problema coa comprobación dos certificados de Let's Encrypt afectou só aos usuarios de ramas máis antigas de RHEL/CentOS e Ubuntu que non instalan actualizacións regularmente.
- O proceso de verificación do certificado en grpc está roto.
- Produciuse un erro na plataforma Cloudflare Pages.
- Problemas en Amazon Web Services (AWS).
- Os usuarios de DigitalOcean teñen problemas para conectarse á base de datos.
- A plataforma en nube Netlify fallou.
- Problemas para acceder aos servizos de Xero.
- Produciuse un erro ao intentar establecer unha conexión TLS coa API web do servizo MailGun.
- Fallos en versións de macOS e iOS (11, 13, 14), que teoricamente non deberían verse afectados polo problema.
- Fallaron os servizos de punto de captura.
- Produciuse un erro ao verificar os certificados ao acceder á API de PostMan.
- Fallou o Firewall Guardian.
- A páxina de asistencia de monday.com está rota.
- A plataforma Cerb caeu.
- Fallou a verificación do tempo de actividade en Google Cloud Monitoring.
- Problema coa verificación do certificado en Cisco Umbrella Secure Web Gateway.
- Problemas ao conectarse aos proxies de Bluecoat e Palo Alto.
- OVHcloud está a ter problemas para conectarse á API de OpenStack.
- Problemas coa xeración de informes en Shopify.
- Hai problemas para acceder á API Heroku.
- Falla Ledger Live Manager.
- Erro de verificación do certificado nas ferramentas de desenvolvemento de aplicacións de Facebook.
- Problemas en Sophos SG UTM.
- Problemas coa verificación do certificado en cPanel.
Fonte: opennet.ru