ProHoster > Blogs > interneta ziņas > OpenBSD, DragonFly BSD un Electron avārijas IdenTrust saknes sertifikāta derīguma termiņa dēļ

OpenBSD, DragonFly BSD un Electron avārijas IdenTrust saknes sertifikāta derīguma termiņa dēļ

IdenTrust saknes sertifikāta (DST Root CA X3), kas tiek izmantots, lai krusteniski parakstītu CA saknes sertifikātu, novecošana ir radījusi problēmas ar Let's Encrypt sertifikāta verifikāciju projektos, kuros tiek izmantotas vecākas OpenSSL un GnuTLS versijas. Problēmas skāra arī LibreSSL bibliotēku, kuras izstrādātāji neņēma vērā iepriekšējo pieredzi, kas saistīta ar kļūmēm, kas radās pēc tam, kad Sectigo (Comodo) CA AddTrust saknes sertifikāts kļuva novecojis.

Atgādināsim, ka OpenSSL laidienos līdz filiālei 1.0.2 ieskaitot un GnuTLS pirms laidiena 3.6.14 bija kļūda, kas neļāva pareizi apstrādāt savstarpēji parakstītus sertifikātus, ja kāds no parakstīšanai izmantotajiem saknes sertifikātiem bija novecojis. , pat ja citas derīgas būtu saglabātas uzticības ķēdes (Let's Encrypt gadījumā IdenTrust saknes sertifikāta novecošana neļauj veikt pārbaudi, pat ja sistēmai ir atbalsts paša Let's Encrypt saknes sertifikātam, kas derīgs līdz 2030. gadam). Kļūdas būtība ir tāda, ka vecākas OpenSSL un GnuTLS versijas parsēja sertifikātu kā lineāru ķēdi, savukārt saskaņā ar RFC 4158 sertifikāts var attēlot virzītu izplatītu apļveida diagrammu ar vairākiem uzticamības enkuriem, kas ir jāņem vērā.

Kā risinājums kļūmes novēršanai tiek piedāvāts dzēst “DST Root CA X3” sertifikātu no sistēmas krātuves (/etc/ca-certificates.conf un /etc/ssl/certs) un pēc tam palaist komandu “update -ca-sertifikāti -f -v"). CentOS un RHEL melnajam sarakstam varat pievienot sertifikātu “DST Root CA X3”: uzticības dump — filtrs “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust ekstrakts

Dažas no mūsu novērotajām avārijām, kas notika pēc IdenTrust saknes sertifikāta derīguma termiņa beigām:

  • OpenBSD sistēmā ir pārstājusi darboties utilīta syspatch, ko izmanto bināro sistēmas atjauninājumu instalēšanai. OpenBSD projekts šodien steidzami izlaida ielāpus filiālēm 6.8 un 6.9, kas novērš LibreSSL problēmas, pārbaudot savstarpēji parakstītos sertifikātus, kuru viens no saknes sertifikātiem uzticamības ķēdē ir beidzies. Lai atrisinātu problēmu, ieteicams pārslēgties no HTTPS uz HTTP mapē /etc/installurl (tas neapdraud drošību, jo atjauninājumus papildus pārbauda arī ciparparaksts) vai izvēlēties alternatīvu spoguli (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Varat arī noņemt DST Root CA X3 saknes sertifikātu, kuram beidzies derīguma termiņš, no faila /etc/ssl/cert.pem.
  • DragonFly BSD līdzīgas problēmas tiek novērotas, strādājot ar DPorts. Startējot pkg pakotņu pārvaldnieku, tiek parādīta sertifikāta verifikācijas kļūda. Labojums šodien tika pievienots galvenajam, DragonFly_RELEASE_6_0 un DragonFly_RELEASE_5_8 atzaram. Kā risinājumu varat noņemt DST Root CA X3 sertifikātu.
  • Ir bojāts Let's Encrypt sertifikātu pārbaudes process lietojumprogrammās, kuru pamatā ir Electron platforma. Problēma tika novērsta atjauninājumos 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Dažiem izplatījumiem ir problēmas ar piekļuvi pakotņu krātuvēm, ja tiek izmantots APT pakotņu pārvaldnieks, kas saistīts ar vecākām GnuTLS bibliotēkas versijām. Problēma skāra Debian 9, kurā tika izmantota neizlabota GnuTLS pakotne, kas radīja problēmas, piekļūstot deb.debian.org lietotājiem, kuri laikus neinstalēja atjauninājumu (tika piedāvāts labojums gnutls28-3.5.8-5+deb9u6 17. septembrī). Kā risinājums ir ieteicams noņemt DST_Root_CA_X3.crt no /etc/ca-certificates.conf faila.
  • Tika traucēta acme-client darbība izplatīšanas komplektā OPNsense ugunsmūru izveidei, par problēmu tika ziņots iepriekš, taču izstrādātāji nepaguva laicīgi izlaist ielāpu.
  • Problēma skāra OpenSSL 1.0.2k pakotni operētājsistēmā RHEL/CentOS 7, taču pirms nedēļas tika ģenerēts ca-certificates-7-7.el2021.2.50_72.noarch pakotnes atjauninājums operētājsistēmām RHEL 7 un CentOS 9, no kuras tika izveidots IdenTrust. sertifikāts tika noņemts, t.i. problēmas izpausme tika bloķēta iepriekš. Līdzīgs atjauninājums tika publicēts pirms nedēļas Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 un Ubuntu 18.04. Tā kā atjauninājumi tika izlaisti iepriekš, Let’s Encrypt sertifikātu pārbaudes problēma skāra tikai RHEL/CentOS un Ubuntu vecāku filiāļu lietotājus, kuri regulāri neinstalēja atjauninājumus.
  • Sertifikāta verifikācijas process grpc ir bojāts.
  • Cloudflare Pages platformas izveide neizdevās.
  • Problēmas ar Amazon Web Services (AWS).
  • DigitalOcean lietotājiem ir problēmas ar savienojumu ar datu bāzi.
  • Netlify mākoņa platforma ir avarējusi.
  • Problēmas ar piekļuvi Xero pakalpojumiem.
  • Mēģinājums izveidot TLS savienojumu ar pakalpojuma MailGun Web API neizdevās.
  • Avārijas operētājsistēmu macOS un iOS versijās (11, 13, 14), kuras teorētiski problēmai nevajadzētu ietekmēt.
  • Catchpoint pakalpojumi neizdevās.
  • Piekļūstot PostMan API, pārbaudot sertifikātus, radās kļūda.
  • Guardian Firewall ir avarējis.
  • Monday.com atbalsta lapa ir bojāta.
  • Cerb platforma ir avarējusi.
  • Darbspējas laika pārbaude pakalpojumā Google mākoņu pārraudzība neizdevās.
  • Problēma ar sertifikāta verifikāciju pakalpojumā Cisco Umbrella Secure Web Gateway.
  • Problēmas, izveidojot savienojumu ar Bluecoat un Palo Alto starpniekserveriem.
  • OVHcloud ir problēmas ar savienojumu ar OpenStack API.
  • Problēmas ar atskaišu ģenerēšanu pakalpojumā Shopify.
  • Ir problēmas ar piekļuvi Heroku API.
  • Ledger Live Manager avarē.
  • Sertifikāta verifikācijas kļūda Facebook lietotņu izstrādātāja rīkos.
  • Problēmas Sophos SG UTM.
  • Problēmas ar sertifikāta verifikāciju programmā cPanel.

Avots: opennet.ru

Pievieno komentāru