Deprecierea certificatului rădăcină IdenTrust (DST Root CA X3), folosit pentru semnarea încrucișată a certificatului rădăcină Let's Encrypt CA, a cauzat probleme cu verificarea certificatului Let's Encrypt în proiectele care utilizează versiuni mai vechi de OpenSSL și GnuTLS. Problemele au afectat și biblioteca LibreSSL, ai cărei dezvoltatori nu au luat în considerare experiența anterioară asociată cu eșecurile apărute după ce certificatul rădăcină AddTrust al autorității de certificare Sectigo (Comodo) a devenit învechit.
Să ne reamintim că în versiunile OpenSSL până la ramura 1.0.2 inclusiv și în GnuTLS înainte de lansarea 3.6.14, a existat o eroare care nu permitea procesarea corectă a certificatelor cu semnătură încrucișată dacă unul dintre certificatele rădăcină utilizate pentru semnare a devenit învechit. , chiar dacă altele valide s-au păstrat lanțuri de încredere (în cazul Let's Encrypt, învechirea certificatului rădăcină IdenTrust împiedică verificarea, chiar dacă sistemul are suport pentru certificatul rădăcină propriu al Let's Encrypt, valabil până în 2030). Esența erorii este că versiunile mai vechi ale OpenSSL și GnuTLS au analizat certificatul ca un lanț liniar, în timp ce conform RFC 4158, un certificat poate reprezenta un grafic circular distribuit direcționat cu mai multe ancore de încredere care trebuie luate în considerare.
Ca o soluție pentru a rezolva eșecul, se propune ștergerea certificatului „DST Root CA X3” din stocarea sistemului (/etc/ca-certificates.conf și /etc/ssl/certs), apoi rulați comanda „update”. -ca-certificate -f -v” "). Pe CentOS și RHEL, puteți adăuga certificatul „DST Root CA X3” la lista neagră: trust dump —filter „pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
Unele dintre blocările pe care le-am văzut care au avut loc după expirarea certificatului rădăcină IdenTrust:
- În OpenBSD, utilitarul syspatch, folosit pentru a instala actualizări binare de sistem, a încetat să funcționeze. Proiectul OpenBSD a lansat astăzi de urgență patch-uri pentru ramurile 6.8 și 6.9 care rezolvă problemele în LibreSSL cu verificarea certificatelor cu semnătură încrucișată, unul dintre certificatele rădăcină din lanțul de încredere al cărora a expirat. Ca o soluție pentru problemă, se recomandă trecerea de la HTTPS la HTTP în /etc/installurl (acest lucru nu amenință securitatea, deoarece actualizările sunt verificate suplimentar printr-o semnătură digitală) sau selectați o oglindă alternativă (ftp.usa.openbsd). org, ftp.hostserver.de, cdn.openbsd.org). De asemenea, puteți elimina certificatul rădăcină DST Root CA X3 expirat din fișierul /etc/ssl/cert.pem.
- În DragonFly BSD, probleme similare sunt observate atunci când lucrați cu DPorts. La pornirea managerului de pachete pkg, apare o eroare de verificare a certificatului. Remedierea a fost adăugată astăzi la ramurile principale, DragonFly_RELEASE_6_0 și DragonFly_RELEASE_5_8. Ca o soluție, puteți elimina certificatul DST Root CA X3.
- Procesul de verificare a certificatelor Let's Encrypt în aplicațiile bazate pe platforma Electron este întrerupt. Problema a fost rezolvată în actualizările 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Unele distribuții au probleme la accesarea depozitelor de pachete atunci când folosesc managerul de pachete APT asociat cu versiunile mai vechi ale bibliotecii GnuTLS. Debian 9 a fost afectat de problemă, care a folosit un pachet GnuTLS nepattchat, ceea ce a dus la probleme la accesarea deb.debian.org pentru utilizatorii care nu au instalat actualizarea la timp (a fost oferită remedierea gnutls28-3.5.8-5+deb9u6). pe 17 septembrie). Ca o soluție, se recomandă să eliminați DST_Root_CA_X3.crt din fișierul /etc/ca-certificates.conf.
- Funcționarea acme-client în kitul de distribuție pentru crearea firewall-urilor OPNsense a fost întreruptă; problema a fost raportată în avans, dar dezvoltatorii nu au reușit să lanseze un patch la timp.
- Problema a afectat pachetul OpenSSL 1.0.2k din RHEL/CentOS 7, dar acum o săptămână a fost generată o actualizare a pachetului ca-certificates-7-7.el2021.2.50_72.noarch pentru RHEL 7 și CentOS 9, din care IdenTrust certificatul a fost eliminat, adică manifestarea problemei a fost blocată în prealabil. O actualizare similară a fost publicată în urmă cu o săptămână pentru Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 și Ubuntu 18.04. Deoarece actualizările au fost lansate în avans, problema cu verificarea certificatelor Let's Encrypt a afectat doar utilizatorii ramurilor mai vechi ale RHEL/CentOS și Ubuntu care nu instalează în mod regulat actualizări.
- Procesul de verificare a certificatului în grpc este întrerupt.
- Crearea platformei Cloudflare Pages a eșuat.
- Probleme în Amazon Web Services (AWS).
- Utilizatorii DigitalOcean au probleme de conectare la baza de date.
- Platforma cloud Netlify s-a prăbușit.
- Probleme la accesarea serviciilor Xero.
- O încercare de a stabili o conexiune TLS la API-ul web al serviciului MailGun a eșuat.
- Blocări în versiunile de macOS și iOS (11, 13, 14), care teoretic nu ar fi trebuit să fie afectate de problemă.
- Serviciile catchpoint au eșuat.
- Eroare la verificarea certificatelor la accesarea PostMan API.
- Guardian Firewall s-a prăbușit.
- Pagina de asistență monday.com este întreruptă.
- Platforma Cerb s-a prăbușit.
- Verificarea timpului de funcționare a eșuat în Google Cloud Monitoring.
- Problemă cu verificarea certificatului în Cisco Umbrella Secure Web Gateway.
- Probleme de conectare la proxy Bluecoat și Palo Alto.
- OVHcloud are probleme la conectarea la API-ul OpenStack.
- Probleme cu generarea de rapoarte în Shopify.
- Există probleme la accesarea API-ului Heroku.
- Ledger Live Manager se blochează.
- Eroare de verificare a certificatului în Instrumentele pentru dezvoltatori de aplicații Facebook.
- Probleme în Sophos SG UTM.
- Probleme cu verificarea certificatului în cPanel.
Sursa: opennet.ru