ProHoster > Блог > интернет жаңалықтары > IdenTrust түбірлік сертификатының мерзімінің аяқталуына байланысты OpenBSD, DragonFly BSD және Electron жүйелерінде бұзылулар

IdenTrust түбірлік сертификатының мерзімінің аяқталуына байланысты OpenBSD, DragonFly BSD және Electron жүйелерінде бұзылулар

IdenTrust түбірлік куәлігінің (DST Root CA X3) ескіруі OpenSSL және GnuTLS ескі нұсқаларын пайдаланатын жобаларда Let's Encrypt CA түбірлік куәлігіне айқаспалы қол қою үшін пайдаланылған Let's Encrypt сертификатын тексеруге қатысты мәселелер туғызды. Мәселелер LibreSSL кітапханасына да әсер етті, оны әзірлеушілер Sectigo (Comodo) CA AddTrust түбірлік сертификаты ескіргеннен кейін пайда болған сәтсіздіктермен байланысты өткен тәжірибені есепке алмаған.

1.0.2 тармағына дейінгі OpenSSL шығарылымдарында және 3.6.14 шығарылымына дейін GnuTLS-те қол қою үшін пайдаланылған түбірлік сертификаттардың бірі ескірсе, көлденең қол қойылған сертификаттарды дұрыс өңдеуге мүмкіндік бермейтін қате болғанын еске түсірейік. , тіпті егер басқа жарамдылары сенім тізбегі сақталған болса да (Let's Encrypt жағдайында, IdenTrust түбірлік куәлігінің ескіруі жүйеде 2030 жылға дейін жарамды Let's Encrypt-тің жеке түбірлік сертификатына қолдау көрсетілсе де, тексеруді болдырмайды). Қатенің мәні мынада: OpenSSL және GnuTLS ескі нұсқалары сертификатты сызықтық тізбек ретінде талдады, ал RFC 4158 сәйкес сертификат есепке алынуы қажет бірнеше сенімді анкерлері бар бағытталған бөлінген дөңгелек графикті көрсете алады.

Ақаулықты шешудің уақытша шешімі ретінде жүйелік жадтан (/etc/ca-certificates.conf және /etc/ssl/certs) «DST Root CA X3» сертификатын жою ұсынылады, содан кейін «жаңарту» пәрменін іске қосыңыз. -ca-сертификаттары -f -v” "). CentOS және RHEL жүйелерінде «DST Root CA X3» сертификатын қара тізімге қосуға болады: сенімді дамп —сүзгі «pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust сығындысы

IdenTrust түбірлік сертификатының мерзімі өткеннен кейін орын алған кейбір бұзылулар:

  • OpenBSD жүйесінде екілік жүйе жаңартуларын орнату үшін пайдаланылатын syspatch утилитасы жұмысын тоқтатты. OpenBSD жобасы бүгін сенім тізбегіндегі түбірлік сертификаттардың бірінің мерзімі өтіп кеткен, айқаспалы қол қойылған сертификаттарды тексеру арқылы LibreSSL жүйесіндегі ақауларды түзететін 6.8 және 6.9 тармақтарына арналған патчтарды шұғыл түрде шығарды. Мәселені шешу үшін /etc/installurl ішінде HTTPS-тен HTTP-ге ауысу ұсынылады (бұл қауіпсіздікке қауіп төндірмейді, өйткені жаңартулар қосымша сандық қолтаңба арқылы расталады) немесе балама айнаны (ftp.usa.openbsd) таңдау керек. org, ftp.hostserver.de, cdn.openbsd.org). Сондай-ақ мерзімі өткен DST Root CA X3 түбірлік сертификатын /etc/ssl/cert.pem файлынан жоюға болады.
  • DragonFly BSD-де Dports-пен жұмыс істегенде ұқсас мәселелер байқалады. pkg бума менеджерін іске қосқан кезде сертификатты тексеру қатесі пайда болады. Түзету бүгін мастер, DragonFly_RELEASE_6_0 және DragonFly_RELEASE_5_8 филиалдарына қосылды. Шешім ретінде DST Root CA X3 сертификатын жоюға болады.
  • Electron платформасына негізделген қолданбаларда Let's Encrypt сертификаттарын тексеру процесі бұзылған. Мәселе 12.2.1, 13.5.1, 14.1.0, 15.1.0 жаңартуларында түзетілді.
  • Кейбір дистрибутивтерде GnuTLS кітапханасының ескі нұсқаларымен байланыстырылған APT бума менеджерін пайдалану кезінде бума репозиторийлеріне қатынасу проблемалары бар. Debian 9-ға патчланбаған GnuTLS пакеті пайдаланылған мәселе әсер етті, бұл жаңартуды уақытында орнатпаған пайдаланушылар үшін deb.debian.org сайтына кіру кезінде қиындықтарға әкелді (gnutls28-3.5.8-5+deb9u6 түзетуі ұсынылды) 17 қыркүйек). Шешім ретінде DST_Root_CA_X3.crt файлын /etc/ca-certificates.conf файлынан жою ұсынылады.
  • OPNsense брандмауэрлерін құруға арналған тарату жинағындағы acme-клиенттің жұмысы бұзылды, мәселе алдын ала хабарланған, бірақ әзірлеушілер патчты уақытында шығара алмады.
  • Мәселе RHEL/CentOS 1.0.2 жүйесіндегі OpenSSL 7k пакетіне әсер етті, бірақ бір апта бұрын RHEL 7 және CentOS 7 үшін ca-certificates-2021.2.50-72.el7_9.noarch бумасының жаңартуы жасалды, олардан IdenTrust сертификат жойылды, яғни. мәселенің көрінісі алдын ала бұғатталды. Ұқсас жаңарту бір апта бұрын Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 және Ubuntu 18.04 үшін жарияланған. Жаңартулар алдын ала шығарылғандықтан, шифрлаймыз сертификаттарын тексеру мәселесі тек жаңартуларды жүйелі түрде орнатпайтын RHEL/CentOS және Ubuntu ескі филиалдарының пайдаланушыларына ғана әсер етті.
  • grpc ішіндегі сертификатты тексеру процесі бұзылған.
  • Cloudflare Pages платформасын құрастыру сәтсіз аяқталды.
  • Amazon Web Services (AWS) жүйесіндегі мәселелер.
  • DigitalOcean пайдаланушыларында дерекқорға қосылуда қиындықтар бар.
  • Netlify бұлттық платформасы істен шықты.
  • Xero қызметтеріне кіру проблемалары.
  • MailGun қызметінің Web API интерфейсіне TLS қосылымын орнату әрекеті сәтсіз аяқталды.
  • Теориялық тұрғыдан мәселеге әсер етпеуі тиіс macOS және iOS (11, 13, 14) нұсқаларында бұзылулар.
  • Catchpoint қызметтері сәтсіз аяқталды.
  • PostMan API интерфейсіне кіру кезінде сертификаттарды тексеру қатесі.
  • Guardian брандмауэр бұзылды.
  • monday.com қолдау беті бұзылған.
  • Cerb платформасы апатқа ұшырады.
  • Google Cloud Monitoring қолданбасында жұмыс уақытын тексеру сәтсіз аяқталды.
  • Cisco Umbrella Secure Web Gateway жүйесінде сертификатты тексеру мәселесі.
  • Bluecoat және Palo Alto проксилеріне қосылу ақаулары.
  • OVHcloud-да OpenStack API-ге қосылуда ақаулар бар.
  • Shopify қызметінде есептерді жасау проблемалары.
  • Heroku API интерфейсіне кіруде мәселелер бар.
  • Ledger Live Manager істен шығады.
  • Facebook қолданбасын әзірлеуші ​​құралдарында сертификатты тексеру қатесі.
  • Sophos SG UTM ақаулары.
  • cPanel жүйесінде сертификатты тексеруге қатысты мәселелер.

Ақпарат көзі: opennet.ru

пікір қалдыру