It-tneħħija taċ-ċertifikat tal-għerq IdenTrust (DST Root CA X3), użat biex jiffirma ċ-ċertifikat tal-għerq Let's Encrypt CA, ikkawżat problemi bil-verifika taċ-ċertifikat Let's Encrypt fi proġetti li jużaw verżjonijiet eqdem ta' OpenSSL u GnuTLS. Problemi affettwaw ukoll il-librerija LibreSSL, li l-iżviluppaturi tagħha ma kkunsidrawx l-esperjenza tal-passat assoċjata ma 'fallimenti li nqalgħu wara li ċ-ċertifikat tal-għeruq AddTrust tal-awtorità taċ-ċertifikati Sectigo (Comodo) sar skadut.
Ejja nfakkru li fir-rilaxxi ta' OpenSSL sal-fergħa 1.0.2 inkluża u f'GnuTLS qabel ir-rilaxx 3.6.14, kien hemm bug li ma ppermettietx li ċertifikati ffirmati b'mod inkroċjat jiġu pproċessati b'mod korrett jekk wieħed miċ-ċertifikati tal-għeruq użati għall-iffirmar sar skadut. , anke jekk oħrajn validi kienu ppreservati ktajjen ta 'fiduċja (fil-każ ta' Let's Encrypt, l-obsolexxenza taċ-ċertifikat ta 'l-għerq IdenTrust tipprevjeni l-verifika, anke jekk is-sistema għandha appoġġ għaċ-ċertifikat ta' l-għerq ta' Let's Encrypt, validu sal-2030). Il-qofol tal-bug huwa li verżjonijiet anzjani ta 'OpenSSL u GnuTLS analizzaw iċ-ċertifikat bħala katina lineari, filwaqt li skont RFC 4158, ċertifikat jista' jirrappreżenta graff ċirkolari distribwit dirett b'ankri ta 'fiduċja multipli li jeħtieġ li jitqiesu.
Bħala soluzzjoni biex tissolva l-falliment, huwa propost li jitħassar iċ-ċertifikat "DST Root CA X3" mill-ħażna tas-sistema (/etc/ca-certificates.conf u /etc/ssl/certs), u mbagħad iħaddem il-kmand "aġġornament -ca-certificates -f -v” "). Fuq CentOS u RHEL, tista 'żżid iċ-ċertifikat "DST Root CA X3" mal-lista s-sewda: trust dump —filtru "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust estratt
Uħud mill-ħabtiet li rajna li seħħew wara li skada ċ-ċertifikat tal-għeruq IdenTrust:
- F'OpenBSD, l-utilità syspatch, użata biex tinstalla aġġornamenti tas-sistema binarja, waqfet taħdem. Il-proġett OpenBSD illum ħareġ b'mod urġenti garżi għall-fergħat 6.8 u 6.9 li jiffissaw il-problemi f'LibreSSL bil-verifika ta 'ċertifikati ffirmati inkroċjati, wieħed miċ-ċertifikati ta' l-għeruq fil-katina ta 'fiduċja tagħhom skada. Bħala soluzzjoni għall-problema, huwa rakkomandat li taqleb minn HTTPS għal HTTP f'/etc/installurl (dan ma jheddedx is-sigurtà, peress li l-aġġornamenti huma vverifikati wkoll b'firma diġitali) jew tagħżel mera alternattiva (ftp.usa.openbsd). org, ftp.hostserver.de, cdn.openbsd.org). Tista' wkoll tneħħi ċ-ċertifikat tal-għerq DST Root CA X3 skadut mill-fajl /etc/ssl/cert.pem.
- F'DragonFly BSD, problemi simili huma osservati meta taħdem ma 'DPorts. Meta tibda l-maniġer tal-pakketti pkg, jidher żball ta' verifika taċ-ċertifikat. It-tiswija ġiet miżjuda llum mal-fergħat kaptan, DragonFly_RELEASE_6_0 u DragonFly_RELEASE_5_8. Bħala soluzzjoni, tista 'tneħħi ċ-ċertifikat DST Root CA X3.
- Il-proċess tal-iċċekkjar taċ-ċertifikati Let's Encrypt f'applikazzjonijiet ibbażati fuq il-pjattaforma Electron huwa miksur. Il-problema ġiet irranġata fl-aġġornamenti 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Xi distribuzzjonijiet għandhom problemi biex jaċċessaw ir-repożitorji tal-pakketti meta jużaw il-maniġer tal-pakketti APT assoċjat ma' verżjonijiet eqdem tal-librerija GnuTLS. Debian 9 kien affettwat mill-problema, li uża pakkett GnuTLS mhux impatched, li wassal għal problemi meta jaċċessaw deb.debian.org għal utenti li ma installawx l-aġġornament fil-ħin (it-tiswija gnutls28-3.5.8-5+deb9u6 ġiet offruta fis-17 ta’ Settembru). Bħala soluzzjoni, huwa rakkomandat li tneħħi DST_Root_CA_X3.crt mill-fajl /etc/ca-certificates.conf.
- L-operazzjoni ta 'acme-client fil-kit tad-distribuzzjoni għall-ħolqien ta' firewalls OPNsense ġiet imfixkla; il-problema ġiet irrappurtata minn qabel, iżda l-iżviluppaturi ma rnexxilhomx jirrilaxxaw garża fil-ħin.
- Il-problema affettwat il-pakkett OpenSSL 1.0.2k f'RHEL/CentOS 7, iżda ġimgħa ilu ġie ġġenerat aġġornament għall-pakkett ca-certificates-7-7.el2021.2.50_72.noarch għal RHEL 7 u CentOS 9, li minnu l-IdenTrust ċertifikat tneħħa, i.e. il-manifestazzjoni tal-problema kienet imblukkata minn qabel. Aġġornament simili ġie ppubblikat ġimgħa ilu għal Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 u Ubuntu 18.04. Peress li l-aġġornamenti ġew rilaxxati minn qabel, il-problema bil-verifika taċ-ċertifikati Let's Encrypt affettwat biss utenti ta 'fergħat anzjani ta' RHEL/CentOS u Ubuntu li ma jinstallawx aġġornamenti regolarment.
- Il-proċess ta 'verifika taċ-ċertifikat fil-GRPC huwa miksur.
- Il-bini tal-pjattaforma Cloudflare Pages falliet.
- Problemi bl-Amazon Web Services (AWS).
- L-utenti ta' DigitalOcean għandhom problemi biex jikkonnettjaw mad-database.
- Il-pjattaforma tal-cloud Netlify ġġarraf.
- Problemi biex taċċessa s-servizzi ta' Xero.
- Attentat biex tiġi stabbilita konnessjoni TLS mal-Web API tas-servizz MailGun falla.
- Crashes f'verżjonijiet ta' macOS u iOS (11, 13, 14), li teoretikament ma kellhomx jiġu affettwati mill-problema.
- Is-servizzi tal-catchpoint fallew.
- Żball fil-verifika taċ-ċertifikati meta taċċessa l-API PostMan.
- Guardian Firewall ġġarraf.
- Il-paġna ta' appoġġ ta' monday.com hija miksura.
- Il-pjattaforma Cerb ġġarraf.
- Il-kontroll tal-uptime falla fil-Monitoraġġ tal-Cloud tal-Google.
- Ħruġ bil-verifika taċ-ċertifikat f'Cisco Umbrella Secure Web Gateway.
- Problemi ta' konnessjoni ma' prokuri Bluecoat u Palo Alto.
- OVHcloud qed ikollha problemi biex tikkonnettja mal-API OpenStack.
- Problemi bil-ġenerazzjoni ta' rapporti f'Shopify.
- Hemm problemi biex taċċessa l-API Heroku.
- Ledger Live Manager jiġġarraf.
- Żball tal-verifika taċ-ċertifikat fl-Għodod tal-Iżviluppaturi tal-App tal-Facebook.
- Problemi f'Sophos SG UTM.
- Problemi bil-verifika taċ-ċertifikat fis-cPanel.
Sors: opennet.ru