ProHoster > blog > berita internet > Kerusakan pada OpenBSD, DragonFly BSD, dan Electron karena masa berlaku sertifikat root IdenTrust

Kerusakan pada OpenBSD, DragonFly BSD, dan Electron karena masa berlaku sertifikat root IdenTrust

Penghentian sertifikat akar IdenTrust (DST Root CA X3), yang digunakan untuk menandatangani silang sertifikat akar Let's Encrypt CA, telah menyebabkan masalah dengan verifikasi sertifikat Let's Encrypt dalam proyek yang menggunakan OpenSSL dan GnuTLS versi lama. Masalah juga mempengaruhi perpustakaan LibreSSL, yang pengembangnya tidak memperhitungkan pengalaman masa lalu terkait dengan kegagalan yang terjadi setelah sertifikat akar AddTrust dari otoritas sertifikat Sectigo (Comodo) menjadi usang.

Ingatlah bahwa dalam rilis OpenSSL hingga inklusif cabang 1.0.2 dan di GnuTLS sebelum rilis 3.6.14, terdapat bug yang tidak memungkinkan sertifikat yang ditandatangani silang diproses dengan benar jika salah satu sertifikat akar yang digunakan untuk penandatanganan menjadi usang , bahkan jika rantai kepercayaan lain yang valid dipertahankan (dalam kasus Let's Encrypt, keusangan sertifikat akar IdenTrust mencegah verifikasi, bahkan jika sistem memiliki dukungan untuk sertifikat akar Let's Encrypt sendiri, yang berlaku hingga tahun 2030). Inti dari bug ini adalah OpenSSL dan GnuTLS versi lama menguraikan sertifikat sebagai rantai linier, sedangkan menurut RFC 4158, sertifikat dapat mewakili grafik melingkar terdistribusi terarah dengan beberapa jangkar kepercayaan yang perlu diperhitungkan.

Sebagai solusi untuk mengatasi kegagalan tersebut, diusulkan untuk menghapus sertifikat β€œDST Root CA X3” dari penyimpanan sistem (/etc/ca-certificates.conf dan /etc/ssl/certs), lalu jalankan perintah β€œupdate -ca-sertifikat -f -v” "). Di CentOS dan RHEL, Anda dapat menambahkan sertifikat β€œDST Root CA X3” ke daftar hitam: trust dump β€”filter β€œpkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | membukasl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust ekstrak

Beberapa kerusakan yang kami lihat terjadi setelah sertifikat akar IdenTrust kedaluwarsa:

  • Di OpenBSD, utilitas syspatch, yang digunakan untuk menginstal pembaruan sistem biner, telah berhenti bekerja. Proyek OpenBSD hari ini segera merilis tambalan untuk cabang 6.8 dan 6.9 yang memperbaiki masalah di LibreSSL dengan memeriksa sertifikat yang ditandatangani silang, salah satu sertifikat akar dalam rantai kepercayaan yang telah kedaluwarsa. Sebagai solusi untuk masalah ini, disarankan untuk beralih dari HTTPS ke HTTP di /etc/installurl (ini tidak mengancam keamanan, karena pembaruan juga diverifikasi oleh tanda tangan digital) atau pilih mirror alternatif (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Anda juga dapat menghapus sertifikat root DST Root CA X3 yang kedaluwarsa dari file /etc/ssl/cert.pem.
  • Di DragonFly BSD, masalah serupa terjadi saat bekerja dengan DPorts. Saat memulai pengelola paket pkg, kesalahan verifikasi sertifikat muncul. Perbaikan telah ditambahkan hari ini ke cabang master, DragonFly_RELEASE_6_0 dan DragonFly_RELEASE_5_8. Sebagai solusinya, Anda dapat menghapus sertifikat DST Root CA X3.
  • Proses verifikasi sertifikat Let's Encrypt dalam aplikasi berbasis platform Electron rusak. Masalahnya telah diperbaiki di pembaruan 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Beberapa distribusi mengalami masalah dalam mengakses repositori paket saat menggunakan manajer paket APT yang terkait dengan versi perpustakaan GnuTLS yang lebih lama. Debian 9 terpengaruh oleh masalah ini, yang menggunakan paket GnuTLS yang belum ditambal, yang menyebabkan masalah saat mengakses deb.debian.org bagi pengguna yang tidak menginstal pembaruan tepat waktu (perbaikan gnutls28-3.5.8-5+deb9u6 ditawarkan pada tanggal 17 September). Sebagai solusinya, disarankan untuk menghapus DST_Root_CA_X3.crt dari file /etc/ca-certificates.conf.
  • Pengoperasian acme-client dalam kit distribusi untuk membuat firewall OPNsense terganggu; masalahnya telah dilaporkan sebelumnya, namun pengembang tidak berhasil merilis patch tepat waktu.
  • Masalah ini memengaruhi paket OpenSSL 1.0.2k di RHEL/CentOS 7, tetapi seminggu yang lalu pembaruan untuk paket ca-certificates-7-7.el2021.2.50_72.noarch dibuat untuk RHEL 7 dan CentOS 9, yang darinya IdenTrust sertifikat telah dihapus, mis. manifestasi masalahnya telah diblokir sebelumnya. Pembaruan serupa diterbitkan seminggu yang lalu untuk Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 dan Ubuntu 18.04. Karena pembaruan dirilis terlebih dahulu, masalah pemeriksaan sertifikat Let's Encrypt hanya memengaruhi pengguna cabang lama RHEL/CentOS dan Ubuntu yang tidak menginstal pembaruan secara rutin.
  • Proses verifikasi sertifikat di grpc rusak.
  • Pembuatan platform Cloudflare Pages gagal.
  • Masalah dengan Amazon Web Services (AWS).
  • Pengguna DigitalOcean mengalami masalah saat menyambung ke database.
  • Platform cloud Netlify mogok.
  • Masalah saat mengakses layanan Xero.
  • Upaya untuk membuat sambungan TLS ke API Web layanan MailGun gagal.
  • Kerusakan pada versi macOS dan iOS (11, 13, 14), yang secara teoritis seharusnya tidak terpengaruh oleh masalah tersebut.
  • Layanan catchpoint gagal.
  • Terjadi kesalahan saat memverifikasi sertifikat saat mengakses PostMan API.
  • Firewall Penjaga telah rusak.
  • Halaman dukungan Monday.com rusak.
  • Platform Cerb telah mogok.
  • Pemeriksaan uptime gagal di Google Cloud Monitoring.
  • Masalah dengan verifikasi sertifikat di Cisco Umbrella Secure Web Gateway.
  • Masalah saat menyambung ke proxy Bluecoat dan Palo Alto.
  • OVHcloud mengalami masalah saat menyambung ke OpenStack API.
  • Masalah dalam menghasilkan laporan di Shopify.
  • Ada masalah saat mengakses API Heroku.
  • Ledger Live Manager lumpuh.
  • Kesalahan verifikasi sertifikat di Alat Pengembang Aplikasi Facebook.
  • Masalah di Sophos SG UTM.
  • Masalah verifikasi sertifikat di cPanel.

Sumber: opennet.ru

Tambah komentar