ProHoster > Log > Internett-nyheter > Krasjer i OpenBSD, DragonFly BSD og Electron på grunn av utløp av IdenTrust rotsertifikat

Krasjer i OpenBSD, DragonFly BSD og Electron på grunn av utløp av IdenTrust rotsertifikat

Avviklingen av IdenTrust-rotsertifikatet (DST Root CA X3), brukt til å krysssignere Let's Encrypt CA-rotsertifikatet, har forårsaket problemer med Let's Encrypt-sertifikatverifiseringen i prosjekter som bruker eldre versjoner av OpenSSL og GnuTLS. Problemer påvirket også LibreSSL-biblioteket, hvor utviklerne ikke tok hensyn til tidligere erfaringer knyttet til feil som oppsto etter at Sectigo (Comodo) CAs AddTrust-rotsertifikat ble foreldet.

La oss huske at i OpenSSL-utgivelser til og med gren 1.0.2 og i GnuTLS før utgivelse 3.6.14, var det en feil som ikke tillot at krysssignerte sertifikater ble behandlet riktig hvis et av rotsertifikatene som ble brukt til signering ble utdatert , selv om andre gyldige var bevarte tillitskjeder (i tilfelle av Let's Encrypt, forhindrer foreldelse av rotsertifikatet for IdenTrust verifisering, selv om systemet har støtte for Let's Encrypts eget rotsertifikat, gyldig til 2030). Hovedpoenget med feilen er at eldre versjoner av OpenSSL og GnuTLS analyserte sertifikatet som en lineær kjede, mens et sertifikat ifølge RFC 4158 kan representere en rettet distribuert sirkulær graf med flere tillitsankre som må tas i betraktning.

Som en løsning for å løse feilen, foreslås det å slette "DST Root CA X3"-sertifikatet fra systemlagringen (/etc/ca-certificates.conf og /etc/ssl/certs), og deretter kjøre kommandoen "update" -ca-sertifikater -f -v" "). På CentOS og RHEL kan du legge til "DST Root CA X3"-sertifikatet til svartelisten: trust dump —filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract

Noen av krasjene vi har sett som skjedde etter at IdenTrust-rotsertifikatet utløp:

  • I OpenBSD har syspatch-verktøyet, som brukes til å installere binære systemoppdateringer, sluttet å fungere. OpenBSD-prosjektet har i dag raskt gitt ut patcher for grenene 6.8 og 6.9 som løser problemer i LibreSSL med å sjekke krysssignerte sertifikater, et av rotsertifikatene i tillitskjeden som har utløpt. Som en løsning på problemet, anbefales det å bytte fra HTTPS til HTTP i /etc/installurl (dette truer ikke sikkerheten, siden oppdateringer i tillegg bekreftes av en digital signatur) eller velge et alternativt speil (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Du kan også fjerne det utløpte DST Root CA X3 rotsertifikatet fra filen /etc/ssl/cert.pem.
  • I DragonFly BSD observeres lignende problemer når du arbeider med DPorter. Når du starter pkg-pakkebehandlingen, vises en sertifikatbekreftelsesfeil. Rettelsen ble lagt til i master-, DragonFly_RELEASE_6_0- og DragonFly_RELEASE_5_8-grenene i dag. Som en løsning kan du fjerne DST Root CA X3-sertifikatet.
  • Prosessen med å sjekke Let's Encrypt-sertifikater i applikasjoner basert på Electron-plattformen er ødelagt. Problemet ble løst i oppdateringer 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Noen distribusjoner har problemer med å få tilgang til pakkelager når du bruker APT-pakkebehandlingen knyttet til eldre versjoner av GnuTLS-biblioteket. Debian 9 ble berørt av problemet, som brukte en ikke-patchet GnuTLS-pakke, noe som førte til problemer ved tilgang til deb.debian.org for brukere som ikke installerte oppdateringen i tide (gnutls28-3.5.8-5+deb9u6-rettelsen ble tilbudt 17. september). Som en løsning anbefales det å fjerne DST_Root_CA_X3.crt fra filen /etc/ca-certificates.conf.
  • Driften av acme-client i distribusjonssettet for å lage OPNsense-brannmurer ble forstyrret; problemet ble rapportert på forhånd, men utviklerne klarte ikke å gi ut en oppdatering i tide.
  • Problemet påvirket OpenSSL 1.0.2k-pakken i RHEL/CentOS 7, men for en uke siden ble det generert en oppdatering til pakken ca-certificates-7-7.el2021.2.50_72.noarch for RHEL 7 og CentOS 9, hvorfra IdenTrust sertifikat ble fjernet, dvs. manifestasjonen av problemet ble blokkert på forhånd. En lignende oppdatering ble publisert for en uke siden for Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 og Ubuntu 18.04. Siden oppdateringene ble utgitt på forhånd, påvirket problemet med å sjekke Let's Encrypt-sertifikater bare brukere av eldre grener av RHEL/CentOS og Ubuntu som ikke regelmessig installerte oppdateringer.
  • Sertifikatverifiseringsprosessen i grpc er ødelagt.
  • Cloudflare Pages-plattformbygging mislyktes.
  • Problemer i Amazon Web Services (AWS).
  • DigitalOcean-brukere har problemer med å koble til databasen.
  • Netlify-skyplattformen har krasjet.
  • Problemer med å få tilgang til Xero-tjenester.
  • Et forsøk på å etablere en TLS-tilkobling til web-API-en til MailGun-tjenesten mislyktes.
  • Krasjer i versjoner av macOS og iOS (11, 13, 14), som teoretisk sett ikke skal ha blitt påvirket av problemet.
  • Catchpoint-tjenester mislyktes.
  • Feil ved verifisering av sertifikater ved tilgang til PostMan API.
  • Guardian Firewall har krasjet.
  • Monday.com-støttesiden er ødelagt.
  • Cerb-plattformen har krasjet.
  • Oppetidskontroll mislyktes i Google Cloud Monitoring.
  • Problem med sertifikatverifisering i Cisco Umbrella Secure Web Gateway.
  • Problemer med å koble til Bluecoat og Palo Alto proxyer.
  • OVHcloud har problemer med å koble til OpenStack API.
  • Problemer med å generere rapporter i Shopify.
  • Det er problemer med å få tilgang til Heroku API.
  • Ledger Live Manager krasjer.
  • Sertifikatbekreftelsesfeil i Facebook App Developer Tools.
  • Problemer i Sophos SG UTM.
  • Problemer med sertifikatverifisering i cPanel.

Kilde: opennet.ru

Legg til en kommentar