A Let's Encrypt CA gyökértanúsítvány kereszt-aláírására használt IdenTrust gyökértanúsítvány (DST Root CA X3) elavulása problémákat okozott a Let's Encrypt tanúsítványellenőrzés során az OpenSSL és GnuTLS régebbi verzióit használó projektekben. A problémák a LibreSSL könyvtárat is érintették, amelynek fejlesztői nem vették figyelembe a Sectigo (Comodo) CA AddTrust gyökértanúsítványának elavulása után keletkezett hibákkal kapcsolatos múltbeli tapasztalatokat.
Emlékezzünk vissza, hogy az OpenSSL kiadásokban az 1.0.2-es ágig és a GnuTLS-ben a 3.6.14-es kiadás előtt volt egy hiba, amely nem tette lehetővé a kereszt-aláírt tanúsítványok megfelelő feldolgozását, ha az aláíráshoz használt gyökértanúsítványok egyike elavult. , még akkor is, ha a többi érvényes bizalmi láncot megőriztek (a Let's Encrypt esetében az IdenTrust gyökértanúsítvány elavultsága megakadályozza az ellenőrzést, még akkor sem, ha a rendszer támogatja a Let's Encrypt saját, 2030-ig érvényes gyökértanúsítványát). A hiba lényege, hogy az OpenSSL és a GnuTLS régebbi verziói lineáris láncként elemezték a tanúsítványt, míg az RFC 4158 szerint egy tanúsítvány egy irányított, elosztott körkörös gráfot képviselhet több megbízhatósági horgonyral, amelyeket figyelembe kell venni.
A hiba megoldásának megoldásaként javasolt a „DST Root CA X3” tanúsítvány törlése a rendszertárolóról (/etc/ca-certificates.conf és /etc/ssl/certs), majd futtassa az „update” parancsot. -ca-tanúsítványok -f -v""). A CentOS és RHEL rendszeren hozzáadhatja a „DST Root CA X3” tanúsítványt a feketelistához: megbízhatósági dump — filter „pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust kivonat
Néhány olyan összeomlás, amelyet az IdenTrust gyökértanúsítvány lejárta után tapasztaltunk:
- Az OpenBSD-ben a bináris rendszerfrissítések telepítésére használt syspatch segédprogram leállt. Az OpenBSD projekt ma sürgősen kiadta a javításokat a 6.8-as és 6.9-es ághoz, amelyek a LibreSSL-ben a kereszt-aláírt tanúsítványok ellenőrzésével kapcsolatos problémákat javítanak ki, amelyeknek a megbízhatósági láncában az egyik gyökértanúsítvány lejárt. A probléma megoldásaként javasoljuk, hogy váltson HTTPS-ről HTTP-re az /etc/installurl fájlban (ez nem veszélyezteti a biztonságot, mivel a frissítéseket ráadásul digitális aláírás is ellenőrzi), vagy válasszon egy másik tükört (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). A lejárt DST Root CA X3 gyökértanúsítványt az /etc/ssl/cert.pem fájlból is eltávolíthatja.
- A DragonFly BSD-ben hasonló problémák figyelhetők meg a DPortokkal való munka során. A pkg csomagkezelő indításakor tanúsítvány-ellenőrzési hiba jelenik meg. A javítást ma hozzáadtuk a fő, DragonFly_RELEASE_6_0 és DragonFly_RELEASE_5_8 ághoz. Megkerülő megoldásként eltávolíthatja a DST Root CA X3 tanúsítványt.
- A Let's Encrypt tanúsítványok ellenőrzési folyamata az Electron platformon alapuló alkalmazásokban megszakadt. A problémát a 12.2.1, 13.5.1, 14.1.0, 15.1.0 frissítések javították.
- Egyes disztribúcióknak problémái vannak a csomagtárolókhoz való hozzáféréssel, ha a GnuTLS könyvtár régebbi verzióihoz társított APT csomagkezelőt használják. A probléma a Debian 9-et érintette, amely javítatlan GnuTLS-csomagot használt, ami problémákhoz vezetett a deb.debian.org elérésekor azon felhasználók számára, akik nem telepítették időben a frissítést (a gnutls28-3.5.8-5+deb9u6 javítást felajánlották szeptember 17-én). Kerülő megoldásként ajánlatos eltávolítani a DST_Root_CA_X3.crt fájlt az /etc/ca-certificates.conf fájlból.
- Az OPNsense tűzfalak létrehozására szolgáló disztribúciós készletben az acme-client működése megszakadt, a problémát előre jelezték, de a fejlesztőknek nem sikerült időben kiadniuk a javítást.
- A probléma az OpenSSL 1.0.2k csomagot érintette RHEL/CentOS 7-ben, de egy hete frissítést generáltak a ca-certificates-7-7.el2021.2.50_72.noarch csomaghoz RHEL 7 és CentOS 9 rendszerhez, amelyből az IdenTrust bizonyítványt eltávolították, i.e. a probléma megnyilvánulását előre blokkolták. Hasonló frissítést tettek közzé egy hete az Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 és Ubuntu 18.04 számára. Mivel a frissítéseket előre kiadták, a Let's Encrypt tanúsítványok ellenőrzésével kapcsolatos probléma csak az RHEL/CentOS és az Ubuntu régebbi ágainak azon felhasználóit érintette, akik nem telepítenek rendszeresen frissítéseket.
- A grpc tanúsítvány-ellenőrzési folyamata megszakadt.
- A Cloudflare Pages platform felépítése nem sikerült.
- Az Amazon Web Services (AWS) problémái.
- A DigitalOcean felhasználóinak problémái vannak az adatbázishoz való csatlakozással.
- A Netlify felhőplatform összeomlott.
- Problémák a Xero szolgáltatások elérésével.
- A MailGun szolgáltatás webes API-jával való TLS-kapcsolat létrehozására tett kísérlet meghiúsult.
- Összeomlások a macOS és iOS verziókban (11, 13, 14), amelyeket elméletileg nem kellett volna érintenie a problémának.
- A Catchpoint szolgáltatás meghiúsult.
- Hiba a tanúsítványok ellenőrzésekor a PostMan API elérésekor.
- A Guardian Firewall összeomlott.
- A monday.com támogatási oldala nem működik.
- A Cerb platform összeomlott.
- Az üzemidő ellenőrzése sikertelen volt a Google Cloud Monitoring szolgáltatásban.
- Probléma a Cisco Umbrella Secure Web Gateway tanúsítványellenőrzésével kapcsolatban.
- Problémák a Bluecoat és Palo Alto proxykhoz való csatlakozáskor.
- Az OVHcloudnak problémái vannak az OpenStack API-hoz való csatlakozással.
- Problémák a jelentések generálásával a Shopify alkalmazásban.
- Problémák vannak a Heroku API elérésével.
- A Ledger Live Manager összeomlik.
- Tanúsítvány-ellenőrzési hiba a Facebook App Developer Toolsban.
- Problémák a Sophos SG UTM-ben.
- Problémák a tanúsítvány ellenőrzésével a cPanelben.
Forrás: opennet.ru