Let's Encrypt CA အရင်းလက်မှတ်ကို ဖြတ်ကျော်လက်မှတ်ထိုးရန် အသုံးပြုသော IdenTrust အမြစ်လက်မှတ် (DST Root CA X3) ကို ငြင်းပယ်ခြင်းသည် OpenSSL နှင့် GnuTLS ဗားရှင်းအဟောင်းများကို အသုံးပြုထားသော ပရောဂျက်များတွင် Let's Encrypt လက်မှတ်အတည်ပြုခြင်းတွင် ပြဿနာများဖြစ်စေသည်။ Sectigo (Comodo) CA ၏ AddTrust အမြစ်လက်မှတ်သည် အသုံးမပြုတော့သည့်နောက် ဖြစ်ပေါ်လာသည့် ပျက်ကွက်မှုများနှင့် ဆက်စပ်နေသည့် အတိတ်အတွေ့အကြုံများကို ထည့်သွင်းစဉ်းစားခြင်းမရှိသည့် LibreSSL စာကြည့်တိုက်ကိုလည်း ပြဿနာများသက်ရောက်စေသည်။
OpenSSL တွင် 1.0.2 အပါအဝင် ဌာနခွဲ 3.6.14 အထိ ပါဝင်ပြီး 2030 မထုတ်ဝေမီ GnuTLS တွင်၊ လက်မှတ်ထိုးရန်အတွက် အသုံးပြုသည့် အရင်းလက်မှတ်များထဲမှ တစ်ခုသည် ခေတ်နောက်ကျသွားပါက လက်မှတ်ဖြတ်ထားသော လက်မှတ်များကို မှန်ကန်စွာ လုပ်ဆောင်ခွင့်မပြုသည့် ချွတ်ယွင်းချက်တစ်ခု ရှိသည်ကို သတိရကြပါစို့။ အခြားတရားဝင်သောယုံကြည်မှုကွင်းဆက်များကို ထိန်းသိမ်းထားသော်လည်း (Let's Encrypt တွင်၊ IdenTrust အမြစ်လက်မှတ်၏ခေတ်လွန်မှုသည် စိစစ်ခြင်းကိုတားဆီးသည်၊ စနစ်တွင် Let's Encrypt ၏ကိုယ်ပိုင် root လက်မှတ်အတွက် ပံ့ပိုးမှုရှိပြီး၊ 4158 အထိသက်တမ်းရှိ)။ ချွတ်ယွင်းချက်၏ အဓိကအချက်မှာ OpenSSL နှင့် GnuTLS ၏ ဗားရှင်းအဟောင်းများသည် လက်မှတ်ကို linear ကွင်းဆက်တစ်ခုအဖြစ် ခွဲခြမ်းစိတ်ဖြာထားသော်လည်း RFC XNUMX အရ၊ လက်မှတ်သည် ထည့်သွင်းစဉ်းစားရန်လိုအပ်သည့် ယုံကြည်စိတ်ချရသောကျောက်ဆူးများစွာဖြင့် ညွှန်ကြားထားသော ဖြန့်ဝေထားသော စက်ဝိုင်းဂရပ်ကို ကိုယ်စားပြုနိုင်သည်။
ချို့ယွင်းမှုကို ဖြေရှင်းရန် ဖြေရှင်းချက်အနေဖြင့်၊ စနစ်သိုလှောင်မှု (/etc/ca-certificates.conf နှင့် /etc/ssl/certs) မှ “DST Root CA X3” လက်မှတ်ကို ဖျက်ပစ်ရန် အဆိုပြုပြီးနောက် “အပ်ဒိတ်လုပ်ခြင်း -ca-certificates -f -v"")။ CentOS နှင့် RHEL တွင်၊ သင်သည် “DST Root CA X3” လက်မှတ်ကို အမည်ပျက်စာရင်းတွင် ထည့်နိုင်သည်- ယုံကြည်စိတ်ချရသော dump —filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust ထုတ်ယူခြင်း
IdenTrust အမြစ်သက်သေခံလက်မှတ် သက်တမ်းကုန်ပြီးနောက်တွင် ဖြစ်ပွားခဲ့သော ပျက်ယွင်းမှုအချို့ကို ကျွန်ုပ်တို့တွေ့ခဲ့ရသည်-
- OpenBSD တွင်၊ ဒွိစနစ်မွမ်းမံမှုများထည့်သွင်းရန်အသုံးပြုသည့် syspatch utility သည် အလုပ်မလုပ်တော့ပါ။ ယနေ့ OpenBSD ပရောဂျက်သည် သက်တမ်းကုန်သွားပြီဖြစ်သော ယုံကြည်ချက်ကွင်းဆက်ရှိ အရင်းလက်မှတ်များထဲမှ တစ်ခုဖြစ်သော LibreSSL တွင် ပြဿနာများကို စစ်ဆေးခြင်းဖြင့် ဖြေရှင်းပေးသည့် အကိုင်းအခက် 6.8 နှင့် 6.9 အတွက် ဖာထေးမှုများကို အမြန်ထုတ်ပေးပါသည်။ ပြဿနာအတွက် ဖြေရှင်းချက်အနေဖြင့် /etc/installurl တွင် HTTPS မှ HTTP သို့ပြောင်းရန် အကြံပြုပါသည် (၎င်းသည် လုံခြုံရေးကို ခြိမ်းခြောက်ခြင်းမရှိပါ၊ အပ်ဒိတ်များကို ဒစ်ဂျစ်တယ်လက်မှတ်ဖြင့် ထပ်လောင်းအတည်ပြုထားသောကြောင့်) သို့မဟုတ် အခြားကြေးမုံတစ်ခု (ftp.usa.openbsd) ကို ရွေးချယ်ပါ။ org၊ ftp.hostserver.de၊ cdn.openbsd.org)။ သက်တမ်းကုန်ဆုံးသွားသော DST Root CA X3 အမြစ်လက်မှတ်ကို /etc/ssl/cert.pem ဖိုင်မှလည်း ဖယ်ရှားနိုင်ပါသည်။
- DragonFly BSD တွင်၊ Dports နှင့်အလုပ်လုပ်သောအခါ အလားတူပြဿနာများကို တွေ့ရှိရသည်။ pkg ပက်ကေ့ဂျ်မန်နေဂျာကို စတင်သောအခါ၊ လက်မှတ်စစ်ခြင်းဆိုင်ရာ အမှားတစ်ခုပေါ်လာသည်။ ပြင်ဆင်ချက်ကို ယနေ့တွင် မာစတာ၊ DragonFly_RELEASE_6_0 နှင့် DragonFly_RELEASE_5_8 အကိုင်းအခက်များတွင် ထည့်သွင်းထားပါသည်။ ဖြေရှင်းနည်းအနေဖြင့်၊ သင်သည် DST Root CA X3 လက်မှတ်ကို ဖယ်ရှားနိုင်သည်။
- အီလက်ထရွန်ပလက်ဖောင်းပေါ်အခြေခံ၍ Let's Encrypt လက်မှတ်များကို စစ်ဆေးခြင်းလုပ်ငန်းစဉ်သည် ပျက်သွားပါသည်။ ပြဿနာကို အပ်ဒိတ် 12.2.1၊ 13.5.1၊ 14.1.0၊ 15.1.0 တွင် ဖြေရှင်းထားပါသည်။
- GnuTLS ဒစ်ဂျစ်တိုက်၏ ဗားရှင်းအဟောင်းများနှင့် ဆက်စပ်နေသော APT ပက်ကေ့ဂျ်မန်နေဂျာကို အသုံးပြုသောအခါ အချို့သောဖြန့်ဖြူးမှုများသည် ပက်ကေ့ဂျ်သိုလှောင်ရာများကို ဝင်ရောက်ကြည့်ရှုရာတွင် အဆင်မပြေပါ။ Debian 9 သည် မွမ်းမံပြင်ဆင်ထားသော GnuTLS ပက်ကေ့ဂျ်ကို အသုံးပြုထားသည့် ပြဿနာကြောင့် deb.debian.org ကို ဝင်ရောက်အသုံးပြုသည့်အခါ ပြဿနာများဖြစ်စေသည် (gnutls28-3.5.8-5+deb9u6 ကို ပြုပြင်ခြင်းအား ကမ်းလှမ်းခဲ့သည် စက်တင်ဘာ ၁၇ ရက်)။ ဖြေရှင်းနည်းအနေဖြင့်၊ DST_Root_CA_X17.crt ကို /etc/ca-certificates.conf ဖိုင်မှ ဖယ်ရှားရန် အကြံပြုထားသည်။
- OPNsense firewalls ဖန်တီးမှုအတွက် ဖြန့်ချီရေးအစုံရှိ acme-client ၏လုပ်ဆောင်မှုမှာ ရပ်တန့်သွားသည်၊ ပြဿနာကို ကြိုတင်သတင်းပို့ထားသော်လည်း developer များသည် patch တစ်ခုကို အချိန်မီမထုတ်ပြန်နိုင်ပါ။
- ပြဿနာသည် RHEL/CentOS 1.0.2 ရှိ OpenSSL 7k ပက်ကေ့ဂျ်ကို ထိခိုက်ခဲ့သော်လည်း IdenTrust မှ ca-certificates-7-7.el2021.2.50_72.noarch ပက်ကေ့ဂျ်အတွက် အပ်ဒိတ်ကို လွန်ခဲ့သော တစ်ပတ်က RHEL 7 နှင့် CentOS 9 အတွက် ထုတ်ပေးခဲ့သည်။ လက်မှတ်ကို ဖယ်ရှားခဲ့သည်၊ ဆိုလိုသည်မှာ၊ ပြဿနာ၏ထင်ရှားမှုကိုကြိုတင်ပိတ်ဆို့ထားသည်။ အလားတူ အပ်ဒိတ်တစ်ခုကို Ubuntu 16.04၊ Ubuntu 14.04၊ Ubuntu 21.04၊ Ubuntu 20.04 နှင့် Ubuntu 18.04 အတွက် လွန်ခဲ့သော တစ်ပတ်က ထုတ်ဝေခဲ့သည်။ အပ်ဒိတ်များကို ကြိုတင်ထုတ်ပြန်ထားသောကြောင့်၊ Let's Encrypt လက်မှတ်များကို စစ်ဆေးခြင်းဖြင့် ပြဿနာသည် RHEL/CentOS နှင့် Ubuntu ၏ ဘဏ်ခွဲအဟောင်းများတွင် အပ်ဒိတ်များကို ပုံမှန်ထည့်သွင်းခြင်းမရှိသော အသုံးပြုသူများသာ သက်ရောက်ပါသည်။
- grpc ရှိ လက်မှတ်အတည်ပြုခြင်းလုပ်ငန်းစဉ် ပျက်သွားသည်။
- Cloudflare Pages ပလပ်ဖောင်းတည်ဆောက်မှု မအောင်မြင်ပါ။
- Amazon Web Services (AWS) ရှိ ပြဿနာများ။
- DigitalOcean အသုံးပြုသူများသည် ဒေတာဘေ့စ်သို့ ချိတ်ဆက်ရာတွင် ပြဿနာများရှိသည်။
- Netlify cloud platform ပျက်သွားပါပြီ။
- Xero ဝန်ဆောင်မှုများကို အသုံးပြုရာတွင် ပြဿနာများ။
- MailGun ဝန်ဆောင်မှု၏ ဝဘ် API သို့ TLS ချိတ်ဆက်မှုတစ်ခု တည်ဆောက်ရန် ကြိုးပမ်းမှု မအောင်မြင်ပါ။
- သီအိုရီအရ ပြဿနာကြောင့် မထိခိုက်သင့်သော macOS နှင့် iOS (11၊ 13၊ 14) ဗားရှင်းများတွင် ပျက်စီးမှုများ။
- Catchpoint ဝန်ဆောင်မှုများ မအောင်မြင်ပါ။
- PostMan API ကိုအသုံးပြုသည့်အခါ လက်မှတ်များကို စစ်ဆေးရာတွင် အမှားအယွင်းရှိသည်။
- Guardian Firewall ပျက်သွားပါပြီ။
- monday.com ပံ့ပိုးမှုစာမျက်နှာ ပျက်သွားသည်။
- Cerb ပလပ်ဖောင်း ပျက်သွားပါပြီ။
- Google Cloud Monitoring တွင် အလုပ်ချိန်စစ်ဆေးခြင်း မအောင်မြင်ပါ။
- Cisco Umbrella Secure Web Gateway တွင် လက်မှတ်အတည်ပြုခြင်းပြဿနာ။
- Bluecoat နှင့် Palo Alto ပရောက်စီများကို ချိတ်ဆက်ရာတွင် ပြဿနာများ။
- OVHcloud သည် OpenStack API သို့ ချိတ်ဆက်ရာတွင် ပြဿနာရှိနေသည်။
- Shopify တွင် အစီရင်ခံစာများထုတ်ပေးခြင်းနှင့် ပြဿနာများ။
- Heroku API ကို အသုံးပြုရာတွင် ပြဿနာများရှိသည်။
- Ledger Live Manager ပျက်သွားသည်။
- Facebook App Developer Tools တွင် လက်မှတ်အတည်ပြုခြင်း အမှား။
- Sophos SG UTM တွင် ပြဿနာများ။
- cPanel တွင် လက်မှတ်အတည်ပြုခြင်းဆိုင်ရာ ပြဿနာများ။
source: opennet.ru