Отстранувањето на коренскиот сертификат IdenTrust (DST Root CA X3), кој се користи за вкрстено потпишување на Let's Encrypt CA root сертификат, предизвика проблеми со верификацијата на сертификатот Let's Encrypt во проекти што користат постари верзии на OpenSSL и GnuTLS. Проблемите ја погодија и библиотеката LibreSSL, чиишто развивачи не го земаа предвид минатото искуство поврзано со неуспесите што се појавија откако коренскиот сертификат AddTrust на Sectigo (Comodo) CA стана застарен.
Да потсетиме дека во изданијата на OpenSSL до филијалата 1.0.2 и во GnuTLS пред објавувањето 3.6.14, имаше грешка што не дозволуваше правилно да се обработуваат вкрстено потпишаните сертификати ако еден од основните сертификати што се користат за потпишување стана застарен , дури и ако другите валидни беа зачувани синџири на доверба (во случајот Let's Encrypt, застареноста на коренскиот сертификат IdenTrust ја спречува верификацијата, дури и ако системот има поддршка за сопствениот root сертификат на Let's Encrypt, со важност до 2030 година). Суштината на грешката е што постарите верзии на OpenSSL и GnuTLS го анализираа сертификатот како линеарен синџир, додека според RFC 4158, сертификатот може да претставува насочен дистрибуиран кружен график со повеќекратни прицврстувачи на доверба што треба да се земат предвид.
Како решение за решавање на неуспехот, се предлага да се избрише сертификатот „DST Root CA X3“ од системското складирање (/etc/ca-certificates.conf и /etc/ssl/certs), а потоа да се изврши командата „update -ca-сертификати -f -v” “). На CentOS и RHEL, можете да го додадете сертификатот „DST Root CA X3“ на црната листа: trust dump —филтер „pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust екстракт
Некои од падовите што ги видовме се случија по истекот на коренскиот сертификат IdenTrust:
- Во OpenBSD, алатката syspatch, која се користи за инсталирање на бинарни системски ажурирања, престана да работи. Проектот OpenBSD денес итно објави закрпи за гранките 6.8 и 6.9 кои ги поправаат проблемите во LibreSSL со проверка на вкрстено потпишани сертификати, чиј еден од основните сертификати во синџирот на доверба е истечен. Како решение за проблемот, се препорачува да се префрлите од HTTPS на HTTP во /etc/installurl (ова не ја загрозува безбедноста, бидејќи ажурирањата дополнително се проверуваат со дигитален потпис) или изберете алтернативно огледало (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Можете исто така да го отстраните истечениот DST Root CA X3 root сертификат од датотеката /etc/ssl/cert.pem.
- Во DragonFly BSD, слични проблеми се забележани при работа со DPports. При стартување на управувачот со пакети pkg, се појавува грешка при верификација на сертификатот. Поправката беше додадена денес во главните гранки, DragonFly_RELEASE_6_0 и DragonFly_RELEASE_5_8. Како решение, можете да го отстраните сертификатот DST Root CA X3.
- Процесот на проверка на Let's Encrypt сертификатите во апликациите базирани на платформата Electron е прекинат. Проблемот беше поправен во ажурирањата 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Некои дистрибуции имаат проблеми со пристапот до складиштата на пакети кога го користат менаџерот на пакети APT поврзан со постарите верзии на библиотеката GnuTLS. Дебиан 9 беше погоден од проблемот, кој користеше незакрпен пакет GnuTLS, што доведе до проблеми при пристапот до deb.debian.org за корисници кои не го инсталираа ажурирањето навреме (понуден е поправка gnutls28-3.5.8-5+deb9u6 на 17 септември). Како решение, се препорачува да се отстрани DST_Root_CA_X3.crt од датотеката /etc/ca-certificates.conf.
- Работата на acme-client во комплетот за дистрибуција за создавање OPNsense заштитни ѕидови беше нарушена, проблемот беше пријавен однапред, но програмерите не успеаја да пуштат лепенка навреме.
- Проблемот влијаеше на пакетот OpenSSL 1.0.2k во RHEL/CentOS 7, но пред една недела беше генерирано ажурирање на пакетот ca-certificates-7-7.el2021.2.50_72.noarch за RHEL 7 и CentOS 9, од кои IdenTrust сертификатот е отстранет, т.е. манифестацијата на проблемот беше однапред блокирана. Слично ажурирање беше објавено пред една недела за Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 и Ubuntu 18.04. Бидејќи ажурирањата беа однапред објавени, проблемот со проверката на сертификатите Let’s Encrypt ги погоди само корисниците на постарите гранки на RHEL/CentOS и Ubuntu кои редовно не инсталираа ажурирања.
- Процесот на верификација на сертификатот во grpc е прекинат.
- Изградбата на платформата Cloudflare Pages не успеа.
- Проблеми во веб-услугите на Амазон (AWS).
- Корисниците на DigitalOcean имаат проблеми со поврзувањето со базата на податоци.
- Облак платформата Netlify падна.
- Проблеми со пристап до услугите на Xero.
- Обидот да се воспостави TLS врска со Web API на услугата MailGun не успеа.
- Паѓања во верзиите на macOS и iOS (11, 13, 14), кои теоретски не требаше да бидат засегнати од проблемот.
- Услугите за усовршување не успеаја.
- Грешка при потврдување на сертификатите при пристап до PostMan API.
- Огнениот ѕид на Гардијан се урна.
- Страницата за поддршка на monday.com е прекината.
- Се урна платформата Cerb.
- Проверката на времето на работа не успеа во следењето на облак на Google.
- Проблем со верификација на сертификатот во Cisco Umbrella Secure Web Gateway.
- Проблеми при поврзување со прокси-серверите Bluecoat и Palo Alto.
- OVHcloud има проблеми со поврзувањето со OpenStack API.
- Проблеми со генерирање извештаи во Shopify.
- Има проблеми со пристапот до Heroku API.
- Се урива Ledger Live Manager.
- Грешка во потврдата на сертификатот во Алатките за развивачи на апликации на Facebook.
- Проблеми во Sophos SG UTM.
- Проблеми со верификацијата на сертификатот во cPanel.
Извор: opennet.ru