La deprecazione del certificato radice IdenTrust (DST Root CA X3), utilizzato per firmare in modo incrociato il certificato radice Let's Encrypt CA, ha causato problemi con la verifica del certificato Let's Encrypt nei progetti che utilizzano versioni precedenti di OpenSSL e GnuTLS. I problemi hanno interessato anche la libreria LibreSSL, i cui sviluppatori non hanno tenuto conto dell'esperienza passata legata ai guasti verificatisi dopo che il certificato root AddTrust della CA Sectigo (Comodo) è diventato obsoleto.
Ricordiamo che nelle versioni OpenSSL fino al ramo 1.0.2 compreso e in GnuTLS prima della versione 3.6.14, era presente un bug che non permetteva di elaborare correttamente i certificati cross-signed se uno dei certificati root utilizzati per la firma diventava obsoleto , anche se fossero preservate altre catene di fiducia valide (nel caso di Let's Encrypt, l'obsolescenza del certificato root IdenTrust impedisce la verifica, anche se il sistema ha il supporto per il certificato root di Let's Encrypt, valido fino al 2030). Il nocciolo del bug è che le versioni precedenti di OpenSSL e GnuTLS analizzavano il certificato come una catena lineare, mentre secondo RFC 4158, un certificato può rappresentare un grafico circolare distribuito diretto con più trust Anchor che devono essere presi in considerazione.
Come soluzione alternativa per risolvere l'errore, si propone di eliminare il certificato "DST Root CA X3" dall'archivio di sistema (/etc/ca-certificates.conf e /etc/ssl/certs), quindi eseguire il comando "update -ca-certificati -f -v” "). Su CentOS e RHEL, puoi aggiungere il certificato “DST Root CA X3” alla lista nera: trust dump —filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
Alcuni degli arresti anomali che abbiamo riscontrato si sono verificati dopo la scadenza del certificato radice IdenTrust:
- In OpenBSD, l'utilità syspatch, utilizzata per installare gli aggiornamenti binari del sistema, ha smesso di funzionare. Il progetto OpenBSD ha rilasciato oggi con urgenza le patch per i rami 6.8 e 6.9 che risolvono i problemi in LibreSSL con il controllo dei certificati con firma incrociata, uno dei certificati root nella catena di fiducia dei quali è scaduto. Per ovviare al problema, si consiglia di passare da HTTPS a HTTP in /etc/installurl (questo non mette a rischio la sicurezza, poiché gli aggiornamenti vengono inoltre verificati tramite una firma digitale) o selezionare un mirror alternativo (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). È inoltre possibile rimuovere il certificato root DST Root CA X3 scaduto dal file /etc/ssl/cert.pem.
- In DragonFly BSD, si osservano problemi simili quando si lavora con DPort. Quando si avvia il gestore pacchetti pkg, viene visualizzato un errore di verifica del certificato. La correzione è stata aggiunta oggi ai rami master, DragonFly_RELEASE_6_0 e DragonFly_RELEASE_5_8. Per risolvere il problema, è possibile rimuovere il certificato DST Root CA X3.
- Il processo di verifica dei certificati Let's Encrypt nelle applicazioni basate sulla piattaforma Electron è interrotto. Il problema è stato risolto negli aggiornamenti 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Alcune distribuzioni hanno problemi ad accedere ai repository di pacchetti quando utilizzano il gestore di pacchetti APT associato a versioni precedenti della libreria GnuTLS. Debian 9 era interessata dal problema, che utilizzava un pacchetto GnuTLS senza patch, che causava problemi durante l'accesso a deb.debian.org per gli utenti che non avevano installato l'aggiornamento in tempo (è stata offerta la correzione gnutls28-3.5.8-5+deb9u6 il 17 settembre). Per ovviare al problema, si consiglia di rimuovere DST_Root_CA_X3.crt dal file /etc/ca-certificates.conf.
- Il funzionamento del client acme nel kit di distribuzione per la creazione dei firewall OPNsense è stato interrotto; il problema è stato segnalato in anticipo, ma gli sviluppatori non sono riusciti a rilasciare una patch in tempo.
- Il problema riguardava il pacchetto OpenSSL 1.0.2k in RHEL/CentOS 7, ma una settimana fa è stato generato un aggiornamento al pacchetto ca-certificates-7-7.el2021.2.50_72.noarch per RHEL 7 e CentOS 9, da cui IdenTrust il certificato è stato rimosso, ad es. la manifestazione del problema è stata bloccata in anticipo. Un aggiornamento simile è stato pubblicato una settimana fa per Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 e Ubuntu 18.04. Poiché gli aggiornamenti sono stati rilasciati in anticipo, il problema con la verifica dei certificati Let's Encrypt ha interessato solo gli utenti dei rami più vecchi di RHEL/CentOS e Ubuntu che non installano regolarmente gli aggiornamenti.
- Il processo di verifica del certificato in grpc è interrotto.
- La creazione della piattaforma Cloudflare Pages non è riuscita.
- Problemi in Amazon Web Services (AWS).
- Gli utenti DigitalOcean hanno problemi di connessione al database.
- La piattaforma cloud Netlify si è bloccata.
- Problemi di accesso ai servizi Xero.
- Il tentativo di stabilire una connessione TLS all'API Web del servizio MailGun non è riuscito.
- Crash nelle versioni di macOS e iOS (11, 13, 14), che teoricamente non avrebbero dovuto essere interessate dal problema.
- I servizi Catchpoint non sono riusciti.
- Errore durante la verifica dei certificati durante l'accesso all'API PostMan.
- Guardian Firewall si è bloccato.
- La pagina di supporto di monday.com è danneggiata.
- La piattaforma Cerb è andata in crash.
- Il controllo del tempo di attività non è riuscito in Google Cloud Monitoring.
- Problema con la verifica del certificato in Cisco Umbrella Secure Web Gateway.
- Problemi di connessione ai proxy Bluecoat e Palo Alto.
- OVHcloud ha problemi di connessione all'API OpenStack.
- Problemi con la generazione di report in Shopify.
- Si sono verificati problemi durante l'accesso all'API Heroku.
- Ledger Live Manager si blocca.
- Errore di verifica del certificato negli strumenti per sviluppatori di app Facebook.
- Problemi in Sophos SG UTM.
- Problemi con la verifica del certificato nel cPanel.
Fonte: opennet.ru