오래된 IdenTrust 루트 인증서로 인해 OpenBSD, DragonFly BSD 및 Electron에서 충돌 발생

Let's Encrypt CA 루트 인증서를 교차 서명하는 데 사용되는 IdenTrust 루트 인증서(DST 루트 CA X3)가 더 이상 사용되지 않아 이전 버전의 OpenSSL 및 GnuTLS를 사용하는 프로젝트에서 Let's Encrypt 인증서 확인에 문제가 발생했습니다. 문제는 LibreSSL 라이브러리에도 영향을 미쳤으며 개발자는 Sectigo(Comodo) CA의 AddTrust 루트 인증서가 더 이상 사용되지 않는 이후 발생한 오류와 관련된 과거 경험을 고려하지 않았습니다.

OpenSSL 릴리스 최대 분기 1.0.2(포함)과 릴리스 3.6.14 이전의 GnuTLS에는 서명에 사용된 루트 인증서 중 하나가 오래된 경우 교차 서명된 인증서가 올바르게 처리되지 않는 버그가 있었습니다. , 다른 유효한 인증서가 신뢰 체인으로 보존된 경우에도 마찬가지입니다(Let's Encrypt의 경우 IdenTrust 루트 인증서의 노후화로 인해 시스템이 2030년까지 유효한 Let's Encrypt의 자체 루트 인증서를 지원하더라도 확인이 불가능합니다). 버그의 요점은 이전 버전의 OpenSSL 및 GnuTLS가 인증서를 선형 체인으로 구문 분석한 반면, RFC 4158에 따르면 인증서는 고려해야 할 여러 트러스트 앵커가 있는 방향성 분산 원형 그래프를 나타낼 수 있다는 것입니다.

오류를 해결하기 위한 해결 방법으로 시스템 저장소(/etc/ca-certificates.conf 및 /etc/ssl/certs)에서 "DST Root CA X3" 인증서를 삭제한 다음 "update" 명령을 실행하는 것이 좋습니다. -ca-인증서 -f -v” "). CentOS 및 RHEL에서는 "DST Root CA X3" 인증서를 블랙리스트에 추가할 수 있습니다. trust dump —filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust 추출

IdenTrust 루트 인증서가 만료된 후 발생한 충돌 중 일부는 다음과 같습니다.

• OpenBSD에서 바이너리 시스템 업데이트를 설치하는 데 사용되는 syspatch 유틸리티가 작동을 멈췄습니다. OpenBSD 프로젝트는 오늘 신뢰 체인의 루트 인증서 중 하나가 만료된 교차 서명된 인증서 확인과 관련된 LibreSSL의 문제를 해결하는 분기 6.8 및 6.9용 패치를 긴급 출시했습니다. 문제에 대한 해결 방법으로 /etc/installurl에서 HTTPS에서 HTTP로 전환하거나(업데이트가 디지털 서명으로 추가로 확인되므로 보안을 위협하지 않음) 대체 미러(ftp.usa.openbsd.dll)를 선택하는 것이 좋습니다. org, ftp.hostserver.de, cdn.openbsd.org). /etc/ssl/cert.pem 파일에서 만료된 DST 루트 CA X3 루트 인증서를 제거할 수도 있습니다.
• DragonFly BSD에서는 DPort로 작업할 때 비슷한 문제가 관찰됩니다. pkg 패키지 관리자를 시작할 때 인증서 확인 오류가 나타납니다. 수정 사항은 오늘 마스터, DragonFly_RELEASE_6_0 및 DragonFly_RELEASE_5_8 브랜치에 추가되었습니다. 해결 방법으로 DST 루트 CA X3 인증서를 제거할 수 있습니다.
• Electron 플랫폼 기반 애플리케이션에서 Let's Encrypt 인증서를 확인하는 프로세스가 손상되었습니다. 이 문제는 업데이트 12.2.1, 13.5.1, 14.1.0, 15.1.0에서 해결되었습니다.
• 일부 배포판에서는 이전 버전의 GnuTLS 라이브러리와 연결된 APT 패키지 관리자를 사용할 때 패키지 저장소에 액세스하는 데 문제가 있습니다. Debian 9는 패치되지 않은 GnuTLS 패키지를 사용하여 업데이트를 제때 설치하지 않은 사용자가 deb.debian.org에 액세스할 때 문제를 일으키는 문제의 영향을 받았습니다(gnutls28-3.5.8-5+deb9u6 수정 사항이 제공됨). 17월 3일). 이 문제를 해결하려면 /etc/ca-certificates.conf 파일에서 DST_Root_CA_XXNUMX.crt를 제거하는 것이 좋습니다.
• OPNsense 방화벽 생성을 위한 배포 키트에서 acme-client의 작동이 중단되었으며, 문제가 사전에 보고되었지만 개발자는 제때에 패치를 릴리스하지 못했습니다.
• 이 문제는 RHEL/CentOS 1.0.2의 OpenSSL 7k 패키지에 영향을 미쳤지만 일주일 전에 RHEL 7 및 CentOS 7에 대해 ca-certificates-2021.2.50-72.el7_9.noarch 패키지에 대한 업데이트가 생성되었습니다. 인증서가 제거되었습니다. 문제의 발현이 사전에 차단되었습니다. 일주일 전에 Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 및 Ubuntu 18.04에 대해 유사한 업데이트가 게시되었습니다. 업데이트가 미리 출시되었기 때문에 Let's Encrypt 인증서 확인 문제는 정기적으로 업데이트를 설치하지 않는 RHEL/CentOS 및 Ubuntu의 이전 분기 사용자에게만 영향을 미쳤습니다.
• grpc의 인증서 확인 프로세스가 중단되었습니다.
• Cloudflare Pages 플랫폼 빌드에 실패했습니다.
• Amazon Web Services(AWS)의 문제.
• DigitalOcean 사용자는 데이터베이스에 연결하는 데 문제가 있습니다.
• Netlify 클라우드 플랫폼이 충돌했습니다.
• Xero 서비스에 액세스하는 데 문제가 있습니다.
• MailGun 서비스의 웹 API에 대한 TLS 연결을 설정하려는 시도가 실패했습니다.
• 이론적으로 문제의 영향을 받지 않아야 하는 macOS 및 iOS 버전(11, 13, 14)에서 충돌이 발생합니다.
• 캐치포인트 서비스가 실패했습니다.
• PostMan API에 액세스할 때 인증서를 확인하는 중에 오류가 발생했습니다.
• Guardian 방화벽이 충돌했습니다.
• Monday.com 지원 페이지가 손상되었습니다.
• Cerb 플랫폼이 충돌했습니다.
• Google Cloud Monitoring에서 가동시간 확인에 실패했습니다.
• Cisco Umbrella Secure Web Gateway에서 인증서 확인 문제가 발생했습니다.
• Bluecoat 및 Palo Alto 프록시에 연결하는 데 문제가 있습니다.
• OVHcloud에서 OpenStack API에 연결하는 데 문제가 있습니다.
• Shopify에서 보고서 생성에 문제가 있습니다.
• Heroku API에 액세스하는 데 문제가 있습니다.
• Ledger Live Manager가 충돌합니다.
• Facebook 앱 개발자 도구의 인증서 확인 오류입니다.
• Sophos SG UTM의 문제.
• cPanel의 인증서 확인에 문제가 있습니다.

출처 : opennet.ru