प्रोहोस्टर > ब्लॉग > इंटरनेट समाचार > IdenTrust रूट प्रमाणपत्र की समाप्ति के कारण OpenBSD, DragonFly BSD और इलेक्ट्रॉन में क्रैश

IdenTrust रूट प्रमाणपत्र की समाप्ति के कारण OpenBSD, DragonFly BSD और इलेक्ट्रॉन में क्रैश

लेट्स एनक्रिप्ट सीए रूट सर्टिफिकेट को क्रॉस-साइन करने के लिए उपयोग किए जाने वाले आइडेनट्रस्ट रूट सर्टिफिकेट (डीएसटी रूट सीए समस्याओं ने लिब्रेएसएसएल लाइब्रेरी को भी प्रभावित किया, जिसके डेवलपर्स ने सेक्टिगो (कोमोडो) सीए के ऐडट्रस्ट रूट प्रमाणपत्र के अप्रचलित हो जाने के बाद उत्पन्न हुई विफलताओं से जुड़े पिछले अनुभव को ध्यान में नहीं रखा।

आइए हम याद करें कि ओपनएसएसएल में शाखा 1.0.2 तक की रिलीज़ और रिलीज़ 3.6.14 से पहले जीएनयूटीएलएस में, एक बग था जो क्रॉस-हस्ताक्षरित प्रमाणपत्रों को सही ढंग से संसाधित करने की अनुमति नहीं देता था यदि हस्ताक्षर के लिए उपयोग किए जाने वाले रूट प्रमाणपत्रों में से एक पुराना हो गया था , भले ही अन्य वैध लोगों के पास विश्वास की संरक्षित श्रृंखलाएं थीं (लेट्स एनक्रिप्ट के मामले में, आइडेनट्रस्ट रूट प्रमाणपत्र की अप्रचलनता सत्यापन को रोकती है, भले ही सिस्टम के पास लेट्स एनक्रिप्ट के अपने रूट प्रमाणपत्र के लिए समर्थन हो, जो 2030 तक वैध है)। बग का सार यह है कि ओपनएसएसएल और जीएनयूटीएलएस के पुराने संस्करणों ने प्रमाणपत्र को एक रैखिक श्रृंखला के रूप में पार्स किया है, जबकि आरएफसी 4158 के अनुसार, एक प्रमाणपत्र कई ट्रस्ट एंकरों के साथ एक निर्देशित वितरित परिपत्र ग्राफ का प्रतिनिधित्व कर सकता है जिसे ध्यान में रखने की आवश्यकता है।

विफलता को हल करने के वैकल्पिक समाधान के रूप में, सिस्टम स्टोरेज (/etc/ca-certificates.conf और /etc/ssl/certs) से "DST रूट CA X3" प्रमाणपत्र को हटाने का प्रस्ताव है, और फिर "अपडेट" कमांड चलाएं -सीए-प्रमाणपत्र -एफ -वी" ")। CentOS और RHEL पर, आप ब्लैकलिस्ट में "DST रूट CA 3बी%11 %4%एफएफ%सी7%1%4%7%2%71" | ओपनएसएल x1 | सुडो टी /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X4.pem sudo update-ca-trust निकालें

कुछ क्रैश जो हमने देखे हैं जो IdenTrust रूट प्रमाणपत्र की समय सीमा समाप्त होने के बाद हुए थे:

  • ओपनबीएसडी में, बाइनरी सिस्टम अपडेट स्थापित करने के लिए उपयोग की जाने वाली सिस्पैच उपयोगिता ने काम करना बंद कर दिया है। ओपनबीएसडी परियोजना ने आज शाखाओं 6.8 और 6.9 के लिए तत्काल पैच जारी किए जो लिबरएसएसएल में क्रॉस-हस्ताक्षरित प्रमाणपत्रों की जांच के साथ समस्याओं को ठीक करते हैं, जिनमें से एक ट्रस्ट श्रृंखला में रूट प्रमाणपत्र समाप्त हो गया है। समस्या के समाधान के रूप में, /etc/installurl में HTTPS से HTTP पर स्विच करने की अनुशंसा की जाती है (इससे सुरक्षा को खतरा नहीं होता है, क्योंकि अपडेट अतिरिक्त रूप से डिजिटल हस्ताक्षर द्वारा सत्यापित होते हैं) या एक वैकल्पिक दर्पण (ftp.usa.openbsd) का चयन करें। org, ftp.hostserver.de, cdn.openbsd.org)। आप /etc/ssl/cert.pem फ़ाइल से समाप्त हो चुके DST रूट CA X3 रूट प्रमाणपत्र को भी हटा सकते हैं।
  • ड्रैगनफ़्लाई बीएसडी में, डीपोर्ट्स के साथ काम करते समय समान समस्याएं देखी जाती हैं। पीकेजी पैकेज मैनेजर शुरू करते समय, एक प्रमाणपत्र सत्यापन त्रुटि दिखाई देती है। यह समाधान आज मास्टर, DragonFly_RELEASE_6_0 और DragonFly_RELEASE_5_8 शाखाओं में जोड़ा गया। वैकल्पिक समाधान के रूप में, आप DST रूट CA X3 प्रमाणपत्र को हटा सकते हैं।
  • इलेक्ट्रॉन प्लेटफ़ॉर्म पर आधारित अनुप्रयोगों में लेट्स एनक्रिप्ट प्रमाणपत्रों को सत्यापित करने की प्रक्रिया टूट गई है। समस्या को अद्यतन 12.2.1, 13.5.1, 14.1.0, 15.1.0 में ठीक कर दिया गया था।
  • GnuTLS लाइब्रेरी के पुराने संस्करणों से जुड़े APT पैकेज मैनेजर का उपयोग करते समय कुछ वितरणों को पैकेज रिपॉजिटरी तक पहुँचने में समस्याएँ होती हैं। डेबियन 9 समस्या से प्रभावित था, जिसमें एक अप्रकाशित जीएनयूटीएलएस पैकेज का उपयोग किया गया था, जिसके कारण उन उपयोगकर्ताओं के लिए deb.debian.org तक पहुंचने में समस्याएं पैदा हुईं जिन्होंने समय पर अपडेट इंस्टॉल नहीं किया था (gnutls28-3.5.8-5+deb9u6 फिक्स की पेशकश की गई थी) 17 सितंबर को)। वैकल्पिक समाधान के रूप में, /etc/ca-certificates.conf फ़ाइल से DST_Root_CA_X3.crt को हटाने की अनुशंसा की जाती है।
  • ओपीएनसेंस फ़ायरवॉल बनाने के लिए वितरण किट में एक्मे-क्लाइंट का संचालन बाधित हो गया था, समस्या की सूचना पहले ही दी गई थी, लेकिन डेवलपर्स समय पर पैच जारी करने में विफल रहे।
  • समस्या ने RHEL/CentOS 1.0.2 में OpenSSL 7k पैकेज को प्रभावित किया, लेकिन एक सप्ताह पहले RHEL 7 और CentOS 7 के लिए ca-certificates-2021.2.50-72.el7_9.noarch पैकेज का एक अपडेट तैयार किया गया था, जिससे IdenTrust प्रमाणपत्र हटा दिया गया, यानी. समस्या की अभिव्यक्ति को पहले ही रोक दिया गया था। इसी तरह का अपडेट एक सप्ताह पहले Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 और Ubuntu 18.04 के लिए प्रकाशित किया गया था। चूंकि अपडेट पहले ही जारी कर दिए गए थे, लेट्स एनक्रिप्ट प्रमाणपत्रों की जांच करने में समस्या केवल आरएचईएल/सेंटओएस और उबंटू की पुरानी शाखाओं के उपयोगकर्ताओं को प्रभावित करती है जो नियमित रूप से अपडेट इंस्टॉल नहीं करते हैं।
  • जीआरपीसी में प्रमाणपत्र सत्यापन प्रक्रिया टूट गई है।
  • क्लाउडफ़ेयर पेज प्लेटफ़ॉर्म का निर्माण विफल रहा।
  • अमेज़ॅन वेब सर्विसेज (एडब्ल्यूएस) में मुद्दे।
  • DigitalOcean उपयोगकर्ताओं को डेटाबेस से जुड़ने में समस्याएँ आती हैं।
  • Netlify क्लाउड प्लेटफ़ॉर्म क्रैश हो गया है।
  • ज़ीरो सेवाओं तक पहुँचने में समस्याएँ।
  • मेलगन सेवा के वेब एपीआई से टीएलएस कनेक्शन स्थापित करने का प्रयास विफल रहा।
  • MacOS और iOS (11, 13, 14) के संस्करणों में क्रैश, जो सैद्धांतिक रूप से समस्या से प्रभावित नहीं होना चाहिए था।
  • कैचप्वाइंट सेवाएँ विफल रहीं।
  • PostMan API तक पहुँचते समय प्रमाणपत्र सत्यापित करने में त्रुटि।
  • गार्जियन फ़ायरवॉल क्रैश हो गया है.
  • monday.com सहायता पृष्ठ टूट गया है।
  • सर्ब प्लेटफॉर्म क्रैश हो गया है.
  • Google क्लाउड मॉनिटरिंग में अपटाइम जांच विफल रही।
  • सिस्को अम्ब्रेला सिक्योर वेब गेटवे में प्रमाणपत्र सत्यापन के साथ समस्या।
  • ब्लूकोट और पालो ऑल्टो प्रॉक्सी से कनेक्ट होने में समस्याएँ।
  • OVHcloud को OpenStack API से कनेक्ट होने में समस्या आ रही है।
  • Shopify में रिपोर्ट तैयार करने में समस्याएँ।
  • हेरोकू एपीआई तक पहुँचने में समस्याएँ हैं।
  • लेजर लाइव मैनेजर क्रैश हो गया.
  • फेसबुक ऐप डेवलपर टूल्स में प्रमाणपत्र सत्यापन त्रुटि।
  • सोफोस एसजी यूटीएम में समस्याएं।
  • cPanel में प्रमाणपत्र सत्यापन में समस्याएँ।

स्रोत: opennet.ru

एक टिप्पणी जोड़ें