A descontinuação do certificado raiz IdenTrust (DST Root CA X3), usado para assinatura cruzada do certificado raiz Let's Encrypt CA, causou problemas com a verificação do certificado Let's Encrypt em projetos que usam versões mais antigas de OpenSSL e GnuTLS. Os problemas também afetaram a biblioteca LibreSSL, cujos desenvolvedores não levaram em consideração experiências anteriores associadas a falhas que surgiram depois que o certificado raiz AddTrust da CA Sectigo (Comodo) se tornou obsoleto.
Lembremos que nas versões OpenSSL até a ramificação 1.0.2 inclusive e no GnuTLS antes da versão 3.6.14, havia um bug que não permitia que os certificados assinados cruzados fossem processados corretamente se um dos certificados raiz usados para assinatura ficasse desatualizado , mesmo que outras cadeias de confiança preservadas fossem válidas (no caso do Let's Encrypt, a obsolescência do certificado raiz IdenTrust impede a verificação, mesmo que o sistema tenha suporte ao certificado raiz próprio do Let's Encrypt, válido até 2030). A essência do bug é que versões mais antigas do OpenSSL e GnuTLS analisavam o certificado como uma cadeia linear, enquanto de acordo com a RFC 4158, um certificado pode representar um gráfico circular distribuído direcionado com múltiplas âncoras de confiança que precisam ser levadas em consideração.
Como solução alternativa para resolver a falha, propõe-se excluir o certificado “DST Root CA X3” do armazenamento do sistema (/etc/ca-certificates.conf e /etc/ssl/certs) e, em seguida, executar o comando “update -ca-certificados -f -v” "). No CentOS e RHEL, você pode adicionar o certificado “DST Root CA X3” à lista negra: trust dump —filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90%75%ff%c4%15%60%85%89%10" | abressl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
Algumas das falhas que vimos ocorreram depois que o certificado raiz IdenTrust expirou:
- No OpenBSD, o utilitário syspatch, usado para instalar atualizações binárias do sistema, parou de funcionar. O projeto OpenBSD lançou hoje patches urgentes para as ramificações 6.8 e 6.9 que corrigem problemas no LibreSSL com a verificação de certificados assinados cruzados, um dos certificados raiz na cadeia de confiança expirou. Como solução alternativa para o problema, é recomendado mudar de HTTPS para HTTP em /etc/installurl (isso não ameaça a segurança, já que as atualizações são verificadas adicionalmente por uma assinatura digital) ou selecionar um espelho alternativo (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Você também pode remover o certificado raiz DST Root CA X3 expirado do arquivo /etc/ssl/cert.pem.
- No DragonFly BSD, problemas semelhantes são observados ao trabalhar com DPorts. Ao iniciar o gerenciador de pacotes pkg, aparece um erro de verificação de certificado. A correção foi adicionada hoje às ramificações master, DragonFly_RELEASE_6_0 e DragonFly_RELEASE_5_8. Como solução alternativa, você pode remover o certificado DST Root CA X3.
- O processo de verificação de certificados Let's Encrypt em aplicativos baseados na plataforma Electron está interrompido. O problema foi corrigido nas atualizações 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Algumas distribuições têm problemas para acessar repositórios de pacotes ao usar o gerenciador de pacotes APT associado a versões mais antigas da biblioteca GnuTLS. O Debian 9 foi afetado pelo problema, que usava um pacote GnuTLS sem patch, o que gerava problemas no acesso ao deb.debian.org para usuários que não instalaram a atualização a tempo (foi oferecida a correção gnutls28-3.5.8-5+deb9u6 em 17 de setembro). Como solução alternativa, é recomendável remover DST_Root_CA_X3.crt do arquivo /etc/ca-certificates.conf.
- O funcionamento do acme-client no kit de distribuição para criação de firewalls OPNsense foi interrompido, o problema foi relatado com antecedência, mas os desenvolvedores não conseguiram lançar o patch a tempo.
- O problema afetou o pacote OpenSSL 1.0.2k no RHEL/CentOS 7, mas há uma semana uma atualização para o pacote ca-certificates-7-7.el2021.2.50_72.noarch foi gerada para RHEL 7 e CentOS 9, a partir do qual o IdenTrust certificado foi removido, ou seja, a manifestação do problema foi bloqueada antecipadamente. Uma atualização semelhante foi publicada há uma semana para Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 e Ubuntu 18.04. Como as atualizações foram lançadas com antecedência, o problema com a verificação dos certificados Let's Encrypt afetou apenas usuários de filiais mais antigas do RHEL/CentOS e Ubuntu que não instalam atualizações regularmente.
- O processo de verificação do certificado no grpc está interrompido.
- Falha na construção da plataforma Cloudflare Pages.
- Problemas na Amazon Web Services (AWS).
- Os usuários da DigitalOcean têm problemas para se conectar ao banco de dados.
- A plataforma em nuvem Netlify travou.
- Problemas para acessar os serviços Xero.
- Falha na tentativa de estabelecer uma conexão TLS com a API Web do serviço MailGun.
- Falhas nas versões do macOS e iOS (11, 13, 14), que teoricamente não deveriam ter sido afetadas pelo problema.
- Os serviços do ponto de captura falharam.
- Erro ao verificar certificados ao acessar a API PostMan.
- O Guardian Firewall travou.
- A página de suporte da monday.com está quebrada.
- A plataforma Cerb travou.
- A verificação do tempo de atividade falhou no Google Cloud Monitoring.
- Problema com verificação de certificado no Cisco Umbrella Secure Web Gateway.
- Problemas de conexão com proxies Bluecoat e Palo Alto.
- A OVHcloud está com problemas de ligação à API OpenStack.
- Problemas com geração de relatórios no Shopify.
- Há problemas ao acessar a API Heroku.
- O Ledger Live Manager trava.
- Erro de verificação de certificado nas ferramentas para desenvolvedores de aplicativos do Facebook.
- Problemas no Sophos SG UTM.
- Problemas com verificação de certificado no cPanel.
Fonte: opennet.ru