ProHoster > Blog > internetske vijesti > Ruši se u OpenBSD-u, DragonFly BSD-u i Electronu zbog isteka IdenTrust root certifikata

Ruši se u OpenBSD-u, DragonFly BSD-u i Electronu zbog isteka IdenTrust root certifikata

Obustavljanje korijenskog certifikata IdenTrust (DST Root CA X3), koji se koristi za unakrsno potpisivanje korijenskog certifikata Let's Encrypt CA, uzrokovalo je probleme s provjerom certifikata Let's Encrypt u projektima koji koriste starije verzije OpenSSL-a i GnuTLS-a. Problemi su također utjecali na biblioteku LibreSSL, čiji programeri nisu uzeli u obzir prošla iskustva povezana s kvarovima koji su nastali nakon što je AddTrust root certifikat Sectigo (Comodo) CA zastario.

Prisjetimo se da je u izdanjima OpenSSL-a do grane 1.0.2 iu GnuTLS-u prije izdanja 3.6.14 postojala pogreška koja nije dopuštala ispravnu obradu unakrsno potpisanih certifikata ako je jedan od korijenskih certifikata korištenih za potpisivanje zastario , čak i ako su ostali valjani bili sačuvani lanci povjerenja (u slučaju Let's Encrypta, zastarjelost korijenskog certifikata IdenTrust onemogućuje provjeru, čak i ako sustav ima podršku za vlastiti korijenski certifikat Let's Encrypta, koji vrijedi do 2030.). Suština buga je u tome što su starije verzije OpenSSL-a i GnuTLS-a raščlanile certifikat kao linearni lanac, dok prema RFC 4158 certifikat može predstavljati usmjereni distribuirani kružni graf s višestrukim sidrištima povjerenja koja se moraju uzeti u obzir.

Kao zaobilazno rješenje za rješavanje kvara, predlaže se brisanje "DST Root CA X3" certifikata iz sistemske pohrane (/etc/ca-certificates.conf i /etc/ssl/certs), a zatim pokretanje naredbe "update -ca-certifikati -f -v” "). Na CentOS i RHEL, možete dodati “DST Root CA X3” certifikat na crnu listu: trust dump —filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust ekstrakt

Neki od padova koje smo vidjeli, a koji su se dogodili nakon što je IdenTrust root certifikat istekao:

  • U OpenBSD-u, uslužni program syspatch, koji se koristi za instaliranje ažuriranja binarnog sustava, prestao je raditi. Projekt OpenBSD danas je hitno objavio zakrpe za grane 6.8 i 6.9 koje rješavaju probleme u LibreSSL-u s provjerom unakrsno potpisanih certifikata, čiji je jedan od korijenskih certifikata u lancu povjerenja istekao. Kao zaobilazno rješenje problema, preporuča se prebacivanje s HTTPS-a na HTTP u /etc/installurl (ovo ne ugrožava sigurnost, jer se ažuriranja dodatno provjeravaju digitalnim potpisom) ili odaberite alternativni mirror (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Također možete ukloniti istekli korijenski certifikat DST Root CA X3 iz datoteke /etc/ssl/cert.pem.
  • U DragonFly BSD-u slični se problemi uočavaju pri radu s DPortovima. Prilikom pokretanja upravitelja paketa pkg pojavljuje se pogreška provjere certifikata. Popravak je dodan danas u grane master, DragonFly_RELEASE_6_0 i DragonFly_RELEASE_5_8. Kao zaobilazno rješenje, možete ukloniti DST Root CA X3 certifikat.
  • Proces provjere Let's Encrypt certifikata u aplikacijama baziranim na Electron platformi je pokvaren. Problem je riješen u ažuriranjima 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Neke distribucije imaju problema s pristupom repozitoriju paketa kada koriste APT upravitelj paketa povezan sa starijim verzijama GnuTLS biblioteke. Debian 9 je bio pogođen problemom, koji je koristio nezakrpani GnuTLS paket, što je dovelo do problema pri pristupanju deb.debian.org za korisnike koji nisu instalirali ažuriranje na vrijeme (nuđen je popravak gnutls28-3.5.8-5+deb9u6 17. rujna). Kao zaobilazno rješenje, preporučuje se uklanjanje DST_Root_CA_X3.crt iz datoteke /etc/ca-certificates.conf.
  • Rad acme-clienta u distribucijskom paketu za stvaranje OPNsense vatrozida bio je poremećen; problem je prijavljen unaprijed, ali programeri nisu uspjeli na vrijeme objaviti zakrpu.
  • Problem je zahvatio paket OpenSSL 1.0.2k u RHEL/CentOS 7, no prije tjedan dana generirano je ažuriranje paketa ca-certificates-7-7.el2021.2.50_72.noarch za RHEL 7 i CentOS 9, iz kojeg je IdenTrust certifikat je uklonjen, tj. manifestacija problema bila je unaprijed blokirana. Slično ažuriranje objavljeno je prije tjedan dana za Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 i Ubuntu 18.04. Budući da su ažuriranja objavljena unaprijed, problem s provjerom Let’s Encrypt certifikata utjecao je samo na korisnike starijih grana RHEL/CentOS i Ubuntu koji nisu redovito instalirali ažuriranja.
  • Proces provjere certifikata u grpc-u je prekinut.
  • Izgradnja platforme Cloudflare Pages nije uspjela.
  • Problemi u Amazon Web Services (AWS).
  • Korisnici DigitalOceana imaju problema s povezivanjem s bazom podataka.
  • Netlify cloud platforma se srušila.
  • Problemi s pristupom uslugama Xero.
  • Pokušaj uspostavljanja TLS veze s web API-jem usluge MailGun nije uspio.
  • Rušenja u verzijama macOS-a i iOS-a (11, 13, 14), koje teoretski ne bi trebale biti zahvaćene problemom.
  • Usluge Catchpointa nisu uspjele.
  • Pogreška pri provjeri certifikata prilikom pristupa PostMan API-ju.
  • Guardian Firewall se srušio.
  • Stranica za podršku monday.com ne radi.
  • Platforma Cerb se srušila.
  • Provjera radnog vremena nije uspjela u Google Cloud Monitoringu.
  • Problem s provjerom certifikata u Cisco Umbrella Secure Web Gatewayu.
  • Problemi s povezivanjem s proxyjima Bluecoat i Palo Alto.
  • OVHcloud ima problema s povezivanjem na OpenStack API.
  • Problemi s generiranjem izvješća u Shopifyju.
  • Postoje problemi s pristupom Heroku API-ju.
  • Ledger Live Manager se ruši.
  • Pogreška provjere certifikata u alatima za razvojne programere Facebookovih aplikacija.
  • Problemi u Sophos SG UTM.
  • Problemi s provjerom certifikata u cPanelu.

Izvor: opennet.ru

Dodajte komentar