Let's Encrypt CA эх гэрчилгээнд гарын үсэг зурахад ашигладаг IdenTrust root сертификат (DST Root CA X3) хуучирсан нь OpenSSL болон GnuTLS-ийн хуучин хувилбаруудыг ашигласан төслүүдэд Let's Encrypt сертификатын баталгаажуулалтад асуудал үүсгэсэн. Асуудал нь LibreSSL номын санд мөн нөлөөлсөн бөгөөд хөгжүүлэгчид Sectigo (Comodo) CA-ийн AddTrust эх гэрчилгээ хуучирсны дараа үүссэн алдаатай холбоотой өнгөрсөн туршлагыг харгалзан үзээгүй.
OpenSSL-ийн 1.0.2 хүртэлх салбар болон GnuTLS-д 3.6.14 хувилбарыг гаргахаас өмнө гарын үсэг зурахад ашигласан үндсэн сертификатуудын аль нэг нь хуучирсан тохиолдолд хөндлөн гарын үсэг зурсан гэрчилгээг зөв боловсруулахыг зөвшөөрдөггүй алдаа гарсныг эргэн санацгаая. , бусад хүчинтэй нь итгэлцлийн хэлхээг хадгалсан байсан ч гэсэн (Let's Encrypt-ийн хувьд IdenTrust эх сертификатын хуучирсан нь систем нь Let's Encrypt-ийн өөрийн эх гэрчилгээг дэмждэг, 2030 он хүртэл хүчинтэй байсан ч баталгаажуулахаас сэргийлдэг). Алдааны гол агуулга нь OpenSSL болон GnuTLS-ийн хуучин хувилбарууд нь гэрчилгээг шугаман хэлхээ болгон задлан шинжилдэг байсан бол RFC 4158-ийн дагуу гэрчилгээ нь анхааралдаа авах шаардлагатай олон итгэлцлийн зангуу бүхий чиглүүлсэн тархсан дугуй графикийг төлөөлж болно.
Алдааг арилгахын тулд "DST Root CA X3" сертификатыг системийн санах ойноос (/etc/ca-certificates.conf болон /etc/ssl/certs) устгаад дараа нь "update" командыг ажиллуулахыг санал болгож байна. -ca-сертификатууд -f -v” "). CentOS болон RHEL дээр та "DST Root CA X3" гэрчилгээг хар жагсаалтад нэмж болно: Trust dump —filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
IdenTrust эх гэрчилгээний хугацаа дууссаны дараа бидний харсан зарим гэмтлүүд:
- OpenBSD дээр хоёртын системийн шинэчлэлтүүдийг суулгахад ашигладаг syspatch хэрэгсэл ажиллахаа больсон. OpenBSD төсөл өнөөдөр 6.8 болон 6.9-ийн салбаруудад зориулсан засваруудыг яаралтай гаргасан бөгөөд LibreSSL-д итгэмжлэлийн хэлхээн дэх үндсэн сертификатуудын нэг нь хүчинтэй байх хугацаа нь дууссан хөндлөн гарын үсэг бүхий гэрчилгээг шалгах замаар LibreSSL-д гарсан асуудлуудыг зассан. Асуудлыг шийдвэрлэхийн тулд /etc/installurl-д HTTPS-ээс HTTP руу шилжихийг зөвлөж байна (шинэчлэлтүүдийг дижитал гарын үсгээр баталгаажуулдаг тул энэ нь аюулгүй байдалд заналхийлдэггүй) эсвэл өөр толин тусгал (ftp.usa.openbsd) сонгохыг зөвлөж байна. org, ftp.hostserver.de, cdn.openbsd.org). Та мөн хугацаа нь дууссан DST Root CA X3 эх сертификатыг /etc/ssl/cert.pem файлаас устгаж болно.
- DragonFly BSD-д Dports-тэй ажиллахад ижил төстэй асуудлууд ажиглагддаг. pkg багц менежерийг эхлүүлэх үед гэрчилгээ баталгаажуулах алдаа гарч ирнэ. Энэхүү засварыг өнөөдөр мастер, DragonFly_RELEASE_6_0 болон DragonFly_RELEASE_5_8 салбаруудад нэмсэн. Товч шийдэл болгон та DST Root CA X3 гэрчилгээг устгаж болно.
- Electron платформ дээр суурилсан програмууд дахь Let's Encrypt сертификатыг баталгаажуулах үйл явц эвдэрсэн. Асуудлыг 12.2.1, 13.5.1, 14.1.0, 15.1.0 шинэчлэлтүүдээр зассан.
- Зарим түгээлтүүд GnuTLS номын сангийн хуучин хувилбаруудтай холбоотой APT багц менежерийг ашиглах үед багцын агуулах руу хандахад асуудалтай байдаг. Энэ асуудал Debian 9-д нөлөөлсөн бөгөөд засвар хийгдээгүй GnuTLS багцыг ашигласан бөгөөд энэ нь шинэчлэлтийг цаг тухайд нь суулгаагүй хэрэглэгчдэд deb.debian.org руу нэвтрэхэд асуудал үүсгэсэн (gnutls28-3.5.8-5+deb9u6 засварыг санал болгосон). 17-р сарын 3). Үүнийг шийдвэрлэхийн тулд /etc/ca-certificates.conf файлаас DST_Root_CA_XXNUMX.crt-г устгахыг зөвлөж байна.
- OPNsense галт хана үүсгэх түгээлтийн хэрэгсэл дэх acme-client-ийн ажиллагаа тасалдсан; асуудлыг урьдчилан мэдээлсэн боловч хөгжүүлэгчид нөхөөсийг цаг тухайд нь гаргаж чадаагүй.
- Асуудал нь RHEL/CentOS 1.0.2 дээрх OpenSSL 7k багцад нөлөөлсөн боловч долоо хоногийн өмнө RHEL 7 болон CentOS 7-д зориулсан ca-certificates-2021.2.50-72.el7_9.noarch багцын шинэчлэл хийгдсэн бөгөөд үүнээс IdenTrust гэрчилгээг хассан, өөрөөр хэлбэл. асуудлын илрэлийг урьдчилан хаасан. Үүнтэй төстэй шинэчлэлтийг долоо хоногийн өмнө Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04, Ubuntu 18.04 хувилбаруудад нийтэлсэн. Шинэчлэлтүүдийг урьдчилан гаргасан тул Let's Encrypt сертификатыг шалгахтай холбоотой асуудал зөвхөн шинэчлэлтүүдийг тогтмол суулгадаггүй RHEL/CentOS болон Ubuntu-н хуучин салбаруудын хэрэглэгчдэд л нөлөөлсөн.
- grpc дахь гэрчилгээ баталгаажуулах процесс эвдэрсэн байна.
- Cloudflare Pages платформ бүтээж чадсангүй.
- Amazon Web Services (AWS) дахь асуудлууд.
- DigitalOcean хэрэглэгчид мэдээллийн санд холбогдоход асуудалтай байна.
- Netlify үүл платформ эвдэрсэн.
- Xero үйлчилгээнд хандах асуудал.
- MailGun үйлчилгээний Web API-д TLS холболт үүсгэх оролдлого амжилтгүй боллоо.
- Онолын хувьд асуудалд өртөх ёсгүй байсан macOS болон iOS (11, 13, 14) хувилбаруудад гэмтэл гарсан.
- Catchpoint үйлчилгээ амжилтгүй боллоо.
- PostMan API-д хандах үед гэрчилгээг шалгахад алдаа гарлаа.
- Guardian Firewall эвдэрсэн.
- monday.com-ийн дэмжлэгийн хуудас эвдэрсэн байна.
- Cerb платформ сүйрчээ.
- Google Cloud Monitoring дээр ажиллах цагийн шалгалт амжилтгүй болсон.
- Cisco Umbrella Secure Web Gateway дээрх гэрчилгээний баталгаажуулалтын асуудал.
- Bluecoat болон Palo Alto прокситэй холбогдоход асуудал гарлаа.
- OVHcloud нь OpenStack API-д холбогдоход асуудалтай байна.
- Shopify дээр тайлан гаргахтай холбоотой асуудал.
- Heroku API-д хандахад асуудал гарлаа.
- Ledger Live Manager гацсан.
- Facebook App Developer Tools дахь гэрчилгээний баталгаажуулалтын алдаа.
- Sophos SG UTM-д гарсан асуудлууд.
- cPanel дээр гэрчилгээ баталгаажуулахтай холбоотой асуудлууд.
Эх сурвалж: opennet.ru