IdenTrust արմատային վկայագրի (DST Root CA X3) հնացումը, որն օգտագործվում էր Let's Encrypt CA արմատային վկայագրի խաչաձև ստորագրման համար, խնդիրներ է առաջացրել Let's Encrypt վկայագրի հաստատման հետ կապված նախագծերում, որոնք օգտագործում են OpenSSL և GnuTLS-ի հին տարբերակները: Խնդիրները ազդել են նաև LibreSSL գրադարանի վրա, որի մշակողները հաշվի չեն առել անցյալի փորձը՝ կապված ձախողումների հետ, որոնք առաջացել են այն բանից հետո, երբ Sectigo (Comodo) վկայականի մարմնի AddTrust արմատային վկայականը հնացել է:
Հիշենք, որ OpenSSL թողարկումներում մինչև մասնաճյուղ 1.0.2-ը ներառյալ և GnuTLS-ում մինչև 3.6.14 թողարկումը, կար վրիպակ, որը թույլ չէր տալիս խաչաձև ստորագրված վկայագրերը ճիշտ մշակել, եթե ստորագրման համար օգտագործվող արմատային վկայականներից մեկը հնացել էր: , նույնիսկ եթե մյուս վավերները պահպանված էին վստահության շղթաներով (Let's Encrypt-ի դեպքում, IdenTrust արմատային վկայագրի հնացած լինելը խոչընդոտում է ստուգմանը, նույնիսկ եթե համակարգը աջակցություն ունի Let's Encrypt-ի սեփական արմատային վկայականին, վավեր մինչև 2030 թվականը): Սխալի էությունը կայանում է նրանում, որ OpenSSL-ի և GnuTLS-ի հին տարբերակները վկայականը վերլուծել են որպես գծային շղթա, մինչդեռ RFC 4158-ի համաձայն՝ վկայագիրը կարող է ներկայացնել ուղղորդված բաշխված շրջանաձև գրաֆիկ՝ մի քանի վստահության խարիսխներով, որոնք պետք է հաշվի առնել:
Որպես խափանումը լուծելու լուծում, առաջարկվում է ջնջել «DST Root CA X3» վկայագիրը համակարգի պահեստից (/etc/ca-certificates.conf և /etc/ssl/certs), այնուհետև գործարկել «update» հրամանը։ -ca- վկայագրեր -f -v" "): CentOS-ում և RHEL-ում դուք կարող եք ավելացնել «DST Root CA X3» վկայագիրը սև ցուցակում՝ վստահության աղբավայր — զտիչ «pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%: 4b%90 %75%ff%c4%15%60%85%89%10» | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
Որոշ խափանումներ, որոնք մենք տեսել ենք, տեղի են ունեցել IdenTrust արմատային վկայագրի ժամկետը լրանալուց հետո.
- OpenBSD-ում syspatch կոմունալը, որն օգտագործվում էր համակարգի երկուական թարմացումները տեղադրելու համար, դադարել է աշխատել: OpenBSD նախագիծն այսօր շտապ թողարկեց 6.8 և 6.9 ճյուղերի համար նախատեսված պատչերը, որոնք շտկում են LibreSSL-ում խաչաձև ստորագրված վկայագրերի ստուգման հետ կապված խնդիրները, որոնց վստահության շղթայի արմատային վկայականներից մեկի ժամկետը սպառվել է: Որպես խնդրի լուծում, խորհուրդ է տրվում անցնել HTTPS-ից HTTP-ի /etc/installurl-ում (սա չի սպառնում անվտանգությանը, քանի որ թարմացումները լրացուցիչ ստուգվում են թվային ստորագրությամբ) կամ ընտրել այլընտրանքային հայելին (ftp.usa.openbsd): org, ftp.hostserver.de, cdn.openbsd.org): Դուք կարող եք նաև հեռացնել ժամկետանց DST Root CA X3 արմատային վկայագիրը /etc/ssl/cert.pem ֆայլից:
- DragonFly BSD-ում նմանատիպ խնդիրներ են նկատվում DPports-ի հետ աշխատելիս։ Pkg փաթեթի կառավարիչը գործարկելիս հայտնվում է վկայագրի ստուգման սխալ: Ուղղումը այսօր ավելացվեց հիմնական, DragonFly_RELEASE_6_0 և DragonFly_RELEASE_5_8 մասնաճյուղերում: Որպես լուծում, դուք կարող եք հեռացնել DST Root CA X3 վկայագիրը:
- Electron հարթակի վրա հիմնված հավելվածներում Let's Encrypt վկայականների ստուգման գործընթացը խափանված է։ Խնդիրը շտկվել է 12.2.1, 13.5.1, 14.1.0, 15.1.0 թարմացումներում:
- Որոշ բաշխումներ խնդիրներ ունեն փաթեթների պահոցներ մուտք գործելու հարցում, երբ օգտագործում են APT փաթեթների կառավարիչը՝ կապված GnuTLS գրադարանի հին տարբերակների հետ: Խնդիրն ազդել է Debian 9-ի վրա, որն օգտագործում էր չկարկատված GnuTLS փաթեթ, ինչը հանգեցրեց խնդիրների՝ deb.debian.org մուտք գործելու ժամանակ այն օգտատերերի համար, ովքեր ժամանակին չեն տեղադրել թարմացումը (առաջարկվել է gnutls28-3.5.8-5+deb9u6 ուղղումը: սեպտեմբերի 17-ին): Որպես լուծում, խորհուրդ է տրվում հեռացնել DST_Root_CA_X3.crt /etc/ca-certificates.conf ֆայլից:
- Acme-client-ի աշխատանքը բաշխման փաթեթում OPNsense firewall-երի ստեղծման համար խափանվել է, խնդրի մասին նախապես զեկուցվել է, սակայն մշակողները չեն հասցրել ժամանակին թողարկել պատչը:
- Խնդիրն ազդել է OpenSSL 1.0.2k փաթեթի վրա RHEL/CentOS 7-ում, սակայն մեկ շաբաթ առաջ թարմացվել է ca-certificates-7-7.el2021.2.50_72.noarch փաթեթը RHEL 7-ի և CentOS 9-ի համար, որից IdenTrust-ը: վկայականը հանվել է, այսինքն. խնդրի դրսեւորումը նախապես արգելափակվել է. Նմանատիպ թարմացում մեկ շաբաթ առաջ հրապարակվել է Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 և Ubuntu 18.04 համար: Քանի որ թարմացումները նախապես էին թողարկվել, Let's Encrypt վկայականները ստուգելու հետ կապված խնդիրը վերաբերում էր միայն RHEL/CentOS-ի և Ubuntu-ի ավելի հին մասնաճյուղերի օգտատերերին, ովքեր պարբերաբար թարմացումներ չեն տեղադրում:
- grpc-ում վկայագրի ստուգման գործընթացը խափանված է:
- Cloudflare Pages պլատֆորմի կառուցումը ձախողվեց:
- Խնդիրներ Amazon վեբ ծառայությունների (AWS) հետ.
- DigitalOcean-ի օգտատերերը տվյալների բազայի հետ միանալու հետ կապված խնդիրներ ունեն:
- Netlify ամպային հարթակը խափանվել է։
- Xero ծառայություններ մուտք գործելու հետ կապված խնդիրներ:
- MailGun ծառայության վեբ API-ին TLS կապ հաստատելու փորձը ձախողվեց:
- Խափանում է macOS-ի և iOS-ի տարբերակները (11, 13, 14), որոնց վրա տեսականորեն խնդիրը չպետք է ազդեր:
- Catchpoint ծառայությունները ձախողվեցին:
- Սխալ՝ հավաստագրերը ստուգելիս, երբ մուտք գործեք PostMan API:
- Guardian Firewall-ը վթարի է ենթարկվել.
- monday.com-ի աջակցության էջը կոտրված է:
- Cerb հարթակը վթարի է ենթարկվել.
- Google Cloud Monitoring-ում ժամանակի ստուգումը ձախողվեց:
- Cisco Umbrella Secure Web Gateway-ում վկայագրի հաստատման խնդիր:
- Bluecoat-ի և Palo Alto-ի վստահված անձանց հետ միանալու հետ կապված խնդիրներ:
- OVHcloud-ը խնդիրներ ունի OpenStack API-ին միանալու հետ:
- Shopify-ում հաշվետվություններ ստեղծելու հետ կապված խնդիրներ.
- Heroku API-ին մուտք գործելու հետ կապված խնդիրներ կան:
- Ledger Live Manager-ը խափանում է:
- Վկայագրի ստուգման սխալ Facebook App Developer Tools-ում:
- Խնդիրներ Sophos SG UTM-ում:
- cPanel-ում վկայագրի ստուգման հետ կապված խնդիրներ:
Source: opennet.ru