ProHoster > Dienoraštis > interneto naujienos > „OpenBSD“, „DragonFly BSD“ ir „Electron“ gedimai dėl „IdenTrust“ šakninio sertifikato galiojimo pabaigos

„OpenBSD“, „DragonFly BSD“ ir „Electron“ gedimai dėl „IdenTrust“ šakninio sertifikato galiojimo pabaigos

Nustojus naudoti „IdenTrust“ šakninį sertifikatą (DST Root CA X3), naudojamą kryžminiam „Let's Encrypt“ CA šakninio sertifikato pasirašymui, kilo problemų su Let's Encrypt sertifikato tikrinimu projektuose, kuriuose naudojamos senesnės OpenSSL ir GnuTLS versijos. Problemos taip pat palietė LibreSSL biblioteką, kurios kūrėjai neatsižvelgė į ankstesnę patirtį, susijusią su gedimais, kurie atsirado po to, kai Sectigo (Comodo) CA AddTrust šakninis sertifikatas paseno.

Prisiminkime, kad OpenSSL leidimuose iki šakos 1.0.2 imtinai ir GnuTLS iki 3.6.14 versijos buvo klaida, kuri neleido tinkamai apdoroti kryžmiškai pasirašytų sertifikatų, jei vienas iš pasirašymui naudotų šakninių sertifikatų paseno. , net jei kiti galiojantys buvo išsaugoti pasitikėjimo grandinėmis (Leisk Encrypt atveju, IdenTrust šakninio sertifikato pasenimas neleidžia patikrinti, net jei sistema palaiko Let's Encrypt savo šakninį sertifikatą, galiojantį iki 2030 m.). Klaidos esmė ta, kad senesnės „OpenSSL“ ir „GnuTLS“ versijos išanalizavo sertifikatą kaip linijinę grandinę, o pagal RFC 4158 sertifikatas gali būti nukreiptas paskirstytas apskritas grafikas su keliais patikimumo prierais, į kuriuos reikia atsižvelgti.

Siekiant išspręsti gedimą, siūloma ištrinti „DST Root CA X3“ sertifikatą iš sistemos saugyklos (/etc/ca-certificates.conf ir /etc/ssl/certs) ir paleisti komandą „update“ -ca-sertifikatai -f -v"). CentOS ir RHEL galite įtraukti „DST Root CA X3“ sertifikatą į juodąjį sąrašą: pasitikėjimo išmetimas – filtras „pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust ekstraktas

Kai kurios strigtys, kurias matėme, pasibaigus „IdenTrust“ šakninio sertifikato galiojimui:

  • OpenBSD sistemoje „syspatch“ programa, naudojama dvejetainiams sistemos naujinimams įdiegti, nustojo veikti. OpenBSD projektas šiandien skubiai išleido 6.8 ir 6.9 šakų pataisas, kurios išsprendžia LibreSSL problemas tikrinant kryžmiškai pasirašytus sertifikatus, kurių vienas iš šakninių sertifikatų patikimumo grandinėje baigėsi. Norint išspręsti problemą, rekomenduojama pereiti nuo HTTPS prie HTTP aplanke /etc/installurl (tai nekelia pavojaus saugumui, nes naujinimai papildomai patvirtinami skaitmeniniu parašu) arba pasirinkti alternatyvų veidrodį (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Taip pat galite pašalinti pasibaigusį DST Root CA X3 šakninį sertifikatą iš /etc/ssl/cert.pem failo.
  • DragonFly BSD panašios problemos pastebimos dirbant su DPorts. Paleidus pkg paketų tvarkyklę, pasirodo sertifikato patvirtinimo klaida. Pataisa šiandien buvo pridėta prie pagrindinių, DragonFly_RELEASE_6_0 ir DragonFly_RELEASE_5_8 šakų. Kaip problemos sprendimą galite pašalinti DST Root CA X3 sertifikatą.
  • „Let's Encrypt“ sertifikatų tikrinimo procesas programose, pagrįstose „Electron“ platforma, sulaužytas. Problema buvo išspręsta atnaujinant 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Kai kurie platinimai turi problemų pasiekiant paketų saugyklas, kai naudojate APT paketų tvarkyklę, susietą su senesnėmis GnuTLS bibliotekos versijomis. Problema paveikė Debian 9, kuriame buvo naudojamas nepataisytas GnuTLS paketas, dėl kurio kilo problemų prisijungiant prie deb.debian.org vartotojams, kurie laiku neįdiegė naujinimo (buvo pasiūlytas pataisymas gnutls28-3.5.8-5+deb9u6 rugsėjo 17 d.). Kaip išeitis, rekomenduojama pašalinti DST_Root_CA_X3.crt iš /etc/ca-certificates.conf failo.
  • Sutriko acme-client veikimas platinimo rinkinyje, skirtas OPNsense ugniasienėms kurti, apie problemą buvo pranešta iš anksto, tačiau kūrėjai nespėjo laiku išleisti pataisos.
  • Problema paveikė OpenSSL 1.0.2k paketą RHEL / CentOS 7, tačiau prieš savaitę buvo sugeneruotas paketo ca-certificates-7-7.el2021.2.50_72.noarch atnaujinimas, skirtas RHEL 7 ir CentOS 9, iš kurių buvo sukurtas IdenTrust. pažyma buvo pašalinta, t.y. problemos pasireiškimas buvo užblokuotas iš anksto. Panašus naujinimas buvo paskelbtas prieš savaitę Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 ir Ubuntu 18.04. Kadangi naujinimai buvo išleisti iš anksto, „Let's Encrypt“ sertifikatų tikrinimo problema paveikė tik senesnių RHEL/CentOS ir Ubuntu šakų vartotojus, kurie nereguliariai įdiegia naujinimų.
  • Sertifikato tikrinimo procesas grpc sugedo.
  • Nepavyko sukurti „Cloudflare Pages“ platformos.
  • „Amazon Web Services“ (AWS) problemos.
  • „DigitalOcean“ vartotojams kyla problemų prisijungiant prie duomenų bazės.
  • Netlify debesies platforma sudužo.
  • Problemos pasiekiant Xero paslaugas.
  • Bandymas užmegzti TLS ryšį su MailGun paslaugos žiniatinklio API nepavyko.
  • „MacOS“ ir „iOS“ (11, 13, 14) versijų gedimai, kurių teoriškai problema neturėjo paveikti.
  • „Catchpoint“ paslaugos nepavyko.
  • Klaida tikrinant sertifikatus pasiekiant PostMan API.
  • „Guardian Firewall“ sudužo.
  • Monday.com palaikymo puslapis neveikia.
  • Cerb platforma sudužo.
  • Nepavyko patikrinti veikimo laiko naudojant „Google Cloud Monitoring“.
  • Sertifikato patvirtinimo problema Cisco Umbrella Secure Web Gateway.
  • Problemos jungiantis prie Bluecoat ir Palo Alto tarpinių serverių.
  • OVHcloud kyla problemų prisijungiant prie OpenStack API.
  • Problemos, susijusios su ataskaitų generavimu Shopify.
  • Kyla problemų pasiekiant Heroku API.
  • „Ledger Live Manager“ sugenda.
  • Sertifikato patvirtinimo klaida „Facebook App Developer Tools“.
  • Sophos SG UTM problemos.
  • „cPanel“ sertifikato patvirtinimo problemos.

Šaltinis: opennet.ru

Добавить комментарий