De beëindiging van het IdenTrust-basiscertificaat (DST Root CA X3), dat wordt gebruikt om het Let's Encrypt CA-basiscertificaat te kruisen, heeft problemen veroorzaakt met de Let's Encrypt-certificaatverificatie in projecten die oudere versies van OpenSSL en GnuTLS gebruiken. Problemen hadden ook gevolgen voor de LibreSSL-bibliotheek, waarvan de ontwikkelaars geen rekening hielden met ervaringen uit het verleden met betrekking tot fouten die ontstonden nadat het AddTrust-rootcertificaat van Sectigo (Comodo) CA verouderd raakte.
Laten we niet vergeten dat er in OpenSSL-releases tot en met branch 1.0.2 en in GnuTLS vóór release 3.6.14 een bug zat waardoor kruisondertekende certificaten niet correct konden worden verwerkt als een van de rootcertificaten die voor ondertekening werden gebruikt, verouderd was. , zelfs als andere geldige vertrouwensketens behouden bleven (in het geval van Let's Encrypt verhindert de veroudering van het IdenTrust-rootcertificaat verificatie, zelfs als het systeem ondersteuning heeft voor Let's Encrypt's eigen rootcertificaat, geldig tot 2030). De kern van de bug is dat oudere versies van OpenSSL en GnuTLS het certificaat als een lineaire keten hebben geparseerd, terwijl volgens RFC 4158 een certificaat een gerichte gedistribueerde cirkelgrafiek kan vertegenwoordigen met meerdere vertrouwensankers waarmee rekening moet worden gehouden.
Als tijdelijke oplossing om de fout op te lossen, wordt voorgesteld om het certificaat “DST Root CA X3” uit de systeemopslag te verwijderen (/etc/ca-certificates.conf en /etc/ssl/certs) en vervolgens de opdracht “update” uit te voeren -ca-certificaten -f -v” "). Op CentOS en RHEL kunt u het certificaat “DST Root CA X3” toevoegen aan de zwarte lijst: trust dump —filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
Enkele van de crashes die we hebben gezien die plaatsvonden nadat het IdenTrust-rootcertificaat was verlopen:
- In OpenBSD werkt het syspatch-hulpprogramma, dat wordt gebruikt om binaire systeemupdates te installeren, niet meer. Het OpenBSD-project heeft vandaag met spoed patches uitgebracht voor branches 6.8 en 6.9 die problemen in LibreSSL oplossen met het controleren van kruisondertekende certificaten, waarvan één van de rootcertificaten in de vertrouwensketen is verlopen. Als oplossing voor het probleem wordt aanbevolen om over te schakelen van HTTPS naar HTTP in /etc/installurl (dit vormt geen bedreiging voor de veiligheid, aangezien updates bovendien worden geverifieerd door een digitale handtekening) of een alternatieve spiegelserver te selecteren (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). U kunt ook het verlopen DST Root CA X3-hoofdcertificaat verwijderen uit het bestand /etc/ssl/cert.pem.
- In DragonFly BSD worden soortgelijke problemen waargenomen bij het werken met DPorts. Bij het starten van de pkg-pakketbeheerder verschijnt er een certificaatverificatiefout. De oplossing is vandaag toegevoegd aan de master-, DragonFly_RELEASE_6_0- en DragonFly_RELEASE_5_8-takken. Als tijdelijke oplossing kunt u het DST Root CA X3-certificaat verwijderen.
- Het proces van het verifiëren van Let's Encrypt-certificaten in applicaties op basis van het Electron-platform is mislukt. Het probleem is opgelost in updates 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Sommige distributies hebben problemen met de toegang tot pakketrepository's bij gebruik van de APT-pakketbeheerder die is gekoppeld aan oudere versies van de GnuTLS-bibliotheek. Debian 9 werd getroffen door het probleem, dat gebruik maakte van een ongepatcht GnuTLS-pakket, wat leidde tot problemen bij de toegang tot deb.debian.org voor gebruikers die de update niet op tijd installeerden (de oplossing gnutls28-3.5.8-5+deb9u6 werd aangeboden op 17 september). Als tijdelijke oplossing wordt aanbevolen om DST_Root_CA_X3.crt uit het bestand /etc/ca-certificates.conf te verwijderen.
- De werking van acme-client in de distributiekit voor het maken van OPNsense-firewalls was verstoord; het probleem werd vooraf gemeld, maar de ontwikkelaars slaagden er niet in om op tijd een patch uit te brengen.
- Het probleem had betrekking op het OpenSSL 1.0.2k-pakket in RHEL/CentOS 7, maar een week geleden werd een update voor het ca-certificates-7-7.el2021.2.50_72.noarch-pakket gegenereerd voor RHEL 7 en CentOS 9, waaruit de IdenTrust certificaat is verwijderd, d.w.z. de manifestatie van het probleem werd van tevoren geblokkeerd. Een soortgelijke update werd een week geleden gepubliceerd voor Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 en Ubuntu 18.04. Omdat de updates van tevoren waren uitgebracht, trof het probleem met het controleren van Let's Encrypt-certificaten alleen gebruikers van oudere takken van RHEL/CentOS en Ubuntu die niet regelmatig updates installeren.
- Het certificaatverificatieproces in grpc is verbroken.
- Het bouwen van het Cloudflare Pages-platform is mislukt.
- Problemen met Amazon Web Services (AWS).
- DigitalOcean-gebruikers hebben problemen met het verbinden met de database.
- Het Netlify-cloudplatform is gecrasht.
- Problemen met toegang tot Xero-services.
- Een poging om een TLS-verbinding tot stand te brengen met de web-API van de MailGun-service is mislukt.
- Crashes in versies van macOS en iOS (11, 13, 14), die theoretisch gezien niet door het probleem hadden mogen worden getroffen.
- Catchpoint-services zijn mislukt.
- Fout bij het verifiëren van certificaten bij toegang tot de PostMan API.
- Guardian Firewall is gecrasht.
- De ondersteuningspagina van monday.com is defect.
- Het Cerb-platform is gecrasht.
- Uptimecontrole mislukt in Google Cloud Monitoring.
- Probleem met certificaatverificatie in Cisco Umbrella Secure Web Gateway.
- Problemen bij het verbinden met Bluecoat- en Palo Alto-proxy's.
- OVHcloud heeft problemen met het verbinden met de OpenStack API.
- Problemen met het genereren van rapporten in Shopify.
- Er zijn problemen met de toegang tot de Heroku API.
- Ledger Live Manager loopt vast.
- Certificaatverificatiefout in Facebook App Developer Tools.
- Problemen in Sophos SG UTM.
- Problemen met certificaatverificatie in cPanel.
Bron: opennet.ru