D'Deprecatioun vum IdenTrust Root Zertifikat (DST Root CA X3), benotzt fir de Let's Encrypt CA Root Zertifikat z'ënnerschreiwen, huet Probleemer mat Let's Encrypt Zertifika Verifikatioun a Projete mat eeler Versioune vun OpenSSL a GnuTLS verursaacht. D'Problemer hunn och d'LibreSSL-Bibliothéik beaflosst, d'Entwéckler vun deenen d'Vergaangenheet net berücksichtegt hunn, verbonne mat Feeler, déi entstane sinn nodeems de AddTrust Root Zertifikat vun der Sectigo (Comodo) Zertifizéierungsautoritéit veroudert gouf.
Loosst eis drun erënneren datt an OpenSSL Verëffentlechungen bis zu Branche 1.0.2 inklusiv an a GnuTLS virun der Verëffentlechung 3.6.14, et e Feeler war deen net erlaabt huet cross-signed Certificaten korrekt ze veraarbecht wann ee vun de Root Certificaten, déi fir d'Ënnerschreiwe benotzt goufen, verännert ginn , och wann aner gëlteg Vertrauensketten erhale waren (am Fall vu Let's Encrypt verhënnert d'Ofleefung vum IdenTrust Root Zertifikat d'Verifizéierung, och wann de System Ënnerstëtzung fir Let's Encrypt säin eegene Root Zertifikat huet, valabel bis 2030). De Grond vum Käfer ass datt eeler Versioune vun OpenSSL a GnuTLS den Zertifika als eng linear Kette parséiert hunn, wärend laut RFC 4158, e Certificat kann e geriicht verdeelt kreesfërmeg Grafik representéieren mat multiple Vertrauensanker déi berücksichtegt musse ginn.
Als Léisung fir den Echec ze léisen, gëtt proposéiert den Zertifikat "DST Root CA X3" aus der Systemlagerung ze läschen (/etc/ca-certificates.conf an /etc/ssl/certs), an dann de Kommando ausféieren "update" -ca-Certificaten -f -v" "). Op CentOS an RHEL kënnt Dir den Zertifikat "DST Root CA X3" op d'Schwaarzlëscht addéieren: Vertrauensdump — Filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust Extrait
E puer vun de Crashen déi mir gesinn hunn, déi geschitt nodeems den IdenTrust Root Zertifika ofgelaf ass:
- An OpenBSD ass de Syspatch Utility, benotzt fir binär Systemupdates z'installéieren, opgehalen ze schaffen. Den OpenBSD-Projet huet haut dréngend Patches fir Filialen 6.8 a 6.9 verëffentlecht, déi Problemer am LibreSSL fixéieren mat Kräiz-ënnerschriwwene Certificaten ze kontrolléieren, ee vun de Rootzertifikater an der Vertrauenskette vun deenen ofgelaf ass. Als Léisung fir de Problem ass et recommandéiert vun HTTPS op HTTP an /etc/installurl ze wiesselen (dëst bedroht d'Sécherheet net, well d'Aktualiséierungen zousätzlech duerch eng digital Ënnerschrëft verifizéiert ginn) oder en alternativen Spigel (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Dir kënnt och den ofgelaaften DST Root CA X3 Root Zertifika aus der Datei /etc/ssl/cert.pem läschen.
- An DragonFly BSD ginn ähnlech Probleemer beobachtet wann Dir mat DPorts schafft. Wann Dir de pkg Package Manager ufänkt, erschéngt e Zertifikatverifizéierungsfehler. D'Fix gouf haut un de Master, DragonFly_RELEASE_6_0 an DragonFly_RELEASE_5_8 Filialen bäigefüügt. Als Léisung kënnt Dir den DST Root CA X3 Zertifika ewechhuelen.
- De Prozess fir z'iwwerpréiwen Let's Encrypt Certificaten an Uwendungen baséiert op der Electron Plattform ass gebrach. De Problem gouf an Updates 12.2.1, 13.5.1, 14.1.0, 15.1.0 fixéiert.
- E puer Verdeelungen hu Probleemer mat Zougang zu Package Repositories wann Dir den APT Package Manager benotzt, deen mat eelere Versioune vun der GnuTLS Bibliothéik assoziéiert ass. Debian 9 war vum Problem betraff, deen en onpatchéierte GnuTLS Package benotzt huet, wat zu Probleemer gefouert huet beim Zougang zu deb.debian.org fir Benotzer déi d'Aktualiséierung net an der Zäit installéiert hunn (de gnutls28-3.5.8-5+deb9u6 Fix gouf ugebueden den 17. September). Als Léisung ass et recommandéiert DST_Root_CA_X3.crt aus der Datei /etc/ca-certificates.conf ze läschen.
- D'Operatioun vum Acme-Client am Verdeelungskit fir OPNsense Firewalls ze kreéieren gouf gestéiert; De Problem gouf am Viraus gemellt, awer d'Entwéckler hunn et net fäerdeg bruecht e Patch an der Zäit ze verëffentlechen.
- De Problem huet den OpenSSL 1.0.2k Package am RHEL/CentOS 7 beaflosst, awer virun enger Woch gouf en Update fir d'ca-Certificates-7-7.el2021.2.50_72.noarch Package fir RHEL 7 an CentOS 9 generéiert, aus deem den IdenTrust Zertifikat ewechgeholl, d.h. d'Manifestatioun vum Problem war am Viraus blockéiert. En ähnlechen Update gouf virun enger Woch fir Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 an Ubuntu 18.04 publizéiert. Zënter datt d'Aktualiséierungen am Viraus verëffentlecht goufen, huet de Problem mat der Iwwerpréiwung vun Let's Encrypt Certificaten nëmme Benotzer vun eelere Filialen vun RHEL/CentOS an Ubuntu betraff, déi net regelméisseg Updates installéieren.
- Den Zertifikatverifizéierungsprozess am grpc ass gebrach.
- Cloudflare Pages Plattform Build ass gescheitert.
- Problemer an Amazon Web Services (AWS).
- DigitalOcean Benotzer hu Probleemer mat der Datebank ze verbannen.
- D'Netlify Cloud Plattform ass erofgefall.
- Problemer Zougang zu Xero Servicer.
- E Versuch eng TLS Verbindung mat der Web API vum MailGun Service opzebauen ass gescheitert.
- Crashen a Versioune vu macOS an iOS (11, 13, 14), déi theoretesch net vum Problem betraff sollte sinn.
- Catchpoint Servicer gescheitert.
- Feeler beim Zertifikaten z'iwwerpréiwen beim Zougang zu PostMan API.
- Guardian Firewall ass erofgefall.
- D'monday.com Support Säit ass gebrach.
- D'Cerb Plattform ass erofgefall.
- Uptime Check gescheitert an der Google Cloud Monitoring.
- Ausgab mat Zertifikatverifikatioun am Cisco Umbrella Secure Web Gateway.
- Probleemer mat Bluecoat a Palo Alto Proxyen ze verbannen.
- OVHcloud huet Probleemer mat der OpenStack API ze verbannen.
- Probleemer mam Generéiere Berichter am Shopify.
- Et gi Probleemer fir den Heroku API ze kréien.
- Ledger Live Manager crasht.
- Zertifikat Verifizéierungsfehler a Facebook App Entwéckler Tools.
- Problemer an Sophos SG UTM.
- Probleemer mat Zertifikatverifizéierung am cPanel.
Source: opennet.ru