Betalkirina sertîfîkaya root ya IdenTrust (DST Root CA X3), ku ji bo îmzakirina sertîfîkaya root ya Let's Encrypt CA-yê tê bikar anîn, di projeyên ku guhertoyên kevntir ên OpenSSL û GnuTLS bikar tînin de di verastkirina sertîfîka Let's Encrypt de pirsgirêk derket. Pirsgirêkan bandor li pirtûkxaneya LibreSSL jî kir, pêşdebirên ku ezmûna paşîn a têkildarî têkçûnên ku piştî ku sertîfîkaya root ya AddTrust ya desthilatdariya sertîfîkaya Sectigo (Comodo) qedîm bû, tine hesibandin.
Werin em bînin bîra xwe ku di berdanên OpenSSL-ê heya şaxê 1.0.2-yê tevde û di GnuTLS-ê de berî berdana 3.6.14-ê de, xeletiyek hebû ku destûr neda ku sertîfîkayên xaç-îmzakirî rast bêne pêvajo kirin ger yek ji sertîfîkayên root ên ku ji bo îmzakirinê hatine bikar anîn kevnar bibe. , tevî ku yên din ên derbasdar zincîreyên pêbaweriyê hatine parastin (di mijara Let's Encrypt de, kevnbûna sertîfîkaya root ya IdenTrust rê li ber verastkirinê digire, tewra ku pergalê piştgirî ji bo sertîfîkaya root ya Let's Encrypt hebe, heya 2030 derbasdar e). Naveroka xeletiyê ev e ku guhertoyên kevntir ên OpenSSL û GnuTLS sertîfîkayê wekî zincîreyek rêzik pars kirin, di heman demê de li gorî RFC 4158, sertîfîkayek dikare grafek dorhêl a rêvekirî ya bi lengerên pêbawer ên pirjimar ên ku divê bêne hesibandin temsîl bike.
Wekî çareseriyek ji bo çareserkirina têkçûnê, tê pêşniyar kirin ku sertîfîkaya "DST Root CA X3" ji hilanîna pergalê (/etc/ca-certificates.conf û /etc/ssl/certs) were jêbirin, û dûv re fermana "nûvekirin" bimeşîne. -ca-sertîfîka -f -v" "). Li ser CentOS û RHEL-ê, hûn dikarin sertîfîkaya "DST Root CA X3" li navnîşa reş zêde bikin: pêbaweriya avêtinê — Parzûna "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
Hin şikestinên ku me dîtine ku piştî qedandina sertîfîkaya root ya IdenTrust qewimîn:
- Di OpenBSD de, karûbarê syspatch, ku ji bo sazkirina nûvekirinên pergala binary tê bikar anîn, ji xebatê rawestiya. Projeya OpenBSD îro bi lezgînî ji bo şaxên 6.8 û 6.9 kêşan derxist ku pirsgirêkên li LibreSSL-ê bi kontrolkirina sertîfîkayên xaça-îmzakirî re çareser dike, yek ji sertîfîkayên bingehîn ên di zincîra pêbaweriyê de qediyaye. Wekî çareseriyek ji bo pirsgirêkê, tê pêşniyar kirin ku hûn ji HTTPS-ê veguherînin HTTP-ê di /etc/installurl de (ev xetereyê nade ewlehiyê, ji ber ku nûvekirin ji hêla îmzayek dîjîtal ve jî têne verast kirin) an neynek alternatîf hilbijêrin (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Her weha hûn dikarin sertîfîkaya root ya DST Root CA X3 ji pelê /etc/ssl/cert.pem derxînin.
- Di DragonFly BSD de, dema ku bi DPports re dixebitin pirsgirêkên heman rengî têne dîtin. Dema ku rêveberê pakêtê pkg dest pê dike, xeletiyek verastkirina sertîfîkayê xuya dike. Serrastkirin îro li şaxên master, DragonFly_RELEASE_6_0 û DragonFly_RELEASE_5_8 hate zêdekirin. Wekî çareseriyek, hûn dikarin sertîfîkaya DST Root CA X3 jêbirin.
- Pêvajoya kontrolkirina sertîfîkayên Let's Encrypt di serîlêdanên li ser bingeha platforma Electron de têk çû. Pirsgirêk di nûvekirinên 12.2.1, 13.5.1, 14.1.0, 15.1.0 de hate rast kirin.
- Dema ku rêvebirê pakêta APT-ê bi guhertoyên kevntir ên pirtûkxaneya GnuTLS-ê ve girêdayî ye, hin belavok di gihîştina depoyên pakêtê de pirsgirêk hene. Debian 9 ji pirsgirêkê bandor bû, ku pakêtek GnuTLS ya nepatched bikar anî, ku di dema gihîştina deb.debian.org-ê de ji bo bikarhênerên ku nûvekirin di wextê xwe de saz nekirin bû sedema pirsgirêkan (serrastkirina gnutls28-3.5.8-5+deb9u6 hate pêşkêş kirin di 17ê Îlonê de). Wekî çareseriyek, tê pêşniyar kirin ku DST_Root_CA_X3.crt ji pelê /etc/ca-certificates.conf were rakirin.
- Operasyona acme-muwekîlê di kîtê belavkirinê de ji bo çêkirina dîwarên OPNsense hate asteng kirin; pirsgirêk di pêş de hate ragihandin, lê pêşdebiran nekarî di wextê xwe de patchek derxînin.
- Pirsgirêk bandor li pakêta OpenSSL 1.0.2k li RHEL/CentOS 7 kir, lê hefteyek berê nûvekirinek ji pakêta ca-certificates-7-7.el2021.2.50_72.noarch ji bo RHEL 7 û CentOS 9 hate çêkirin, ku jê IdenTrust sertîfîka hat rakirin, yanî. diyardeya pirsgirêkê di pêş de hate astengkirin. Nûvekirinek bi vî rengî hefteyek berê ji bo Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 û Ubuntu 18.04 hate weşandin. Ji ber ku nûvekirin di pêş de hatin berdan, pirsgirêka kontrolkirina sertîfîkayên Let's Encrypt tenê bandor li bikarhênerên şaxên kevn ên RHEL/CentOS û Ubuntu kir ku bi rêkûpêk nûvekirin saz nekirine.
- Pêvajoya verastkirina sertîfîkayê di grpc de şikestî ye.
- Avakirina platforma Cloudflare Pages têk çû.
- Pirsgirêkên Karûbarên Webê yên Amazon (AWS).
- Bikarhênerên DigitalOcean pirsgirêkên girêdana bi databasê re hene.
- Platforma ewr a Netlify têk çû.
- Pirsgirêkên gihîştina karûbarên Xero.
- Hewldanek ji bo sazkirina girêdanek TLS bi Web API-ya karûbarê MailGun re têk çû.
- Di guhertoyên macOS û iOS (11, 13, 14) de têkçûn, ku ji hêla teorîkî ve diviyabû ku ji pirsgirêkê bandor nebûya.
- Xizmetên xala girtinê têk çûn.
- Di verastkirina sertîfîkayan de çewtî dema gihîştina PostMan API-yê.
- Guardian Firewall têk çû.
- Rûpela piştevaniya monday.com şikestî ye.
- Platforma Cerb ketiye.
- Di Çavdêriya Ewrê ya Google de kontrolkirina demjimêrê têk çû.
- Pirsgirêka verastkirina sertîfîkayê li Cisco Umbrella Secure Web Gateway.
- Pirsgirêkên girêdana bi proxeyên Bluecoat û Palo Alto re.
- OVHcloud bi girêdana bi OpenStack API-yê re pirsgirêk heye.
- Pirsgirêkên çêkirina raporên li Shopify.
- Pirsgirêkên gihîştina Heroku API hene.
- Rêvebirê Ledger Live têk diçe.
- Çewtiya verastkirina sertîfîkayê di Amûrên Pêşdebirên Appê yên Facebookê de.
- Pirsgirêkên di Sophos SG UTM de.
- Pirsgirêkên bi verastkirina sertîfîkayê di cPanel de.
Source: opennet.ru