Ukončenie podpory koreňového certifikátu IdenTrust (DST Root CA X3), ktorý sa používa na krížové podpisovanie koreňového certifikátu Let's Encrypt CA, spôsobilo problémy s overením certifikátu Let's Encrypt v projektoch využívajúcich staršie verzie OpenSSL a GnuTLS. Problémy postihli aj knižnicu LibreSSL, ktorej vývojári nebrali do úvahy minulé skúsenosti spojené s poruchami, ktoré vznikli po zastaraní koreňového certifikátu AddTrust CA Sectigo (Comodo).
Pripomeňme, že vo vydaniach OpenSSL do vetvy 1.0.2 vrátane a v GnuTLS pred vydaním 3.6.14 sa vyskytla chyba, ktorá neumožňovala správne spracovať certifikáty s krížovým podpisom, ak jeden z koreňových certifikátov používaných na podpisovanie bol zastaraný , aj keď ostatné platné boli zachované reťazce dôvery (v prípade Let's Encrypt bráni overeniu zastaralosť koreňového certifikátu IdenTrust, aj keď má systém podporu pre vlastný koreňový certifikát Let's Encrypt platný do roku 2030). Podstatou chyby je, že staršie verzie OpenSSL a GnuTLS analyzovali certifikát ako lineárny reťazec, zatiaľ čo podľa RFC 4158 môže certifikát predstavovať riadený distribuovaný kruhový graf s viacerými kotvami dôvery, ktoré je potrebné vziať do úvahy.
Ako riešenie na vyriešenie zlyhania sa navrhuje vymazať certifikát „DST Root CA X3“ zo systémového úložiska (/etc/ca-certificates.conf a /etc/ssl/certs) a potom spustiť príkaz „update -ca-certifikáty -f -v” "). Na CentOS a RHEL môžete pridať certifikát „DST Root CA X3“ na čiernu listinu: výpis dôveryhodnosti — filter „pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem extrakt sudo update-ca-trust
Niektoré zlyhania, ktoré sme zaznamenali, sa vyskytli po skončení platnosti koreňového certifikátu IdenTrust:
- V OpenBSD prestal fungovať nástroj syspatch, ktorý sa používa na inštaláciu aktualizácií binárneho systému. Projekt OpenBSD dnes súrne vydal záplaty pre vetvy 6.8 a 6.9, ktoré opravujú problémy v LibreSSL s kontrolou krížovo podpísaných certifikátov, pričom platnosť jedného z koreňových certifikátov v reťazci dôveryhodnosti vypršala. Ako riešenie problému sa odporúča prejsť z HTTPS na HTTP v /etc/installurl (to neohrozuje bezpečnosť, pretože aktualizácie sú navyše overované digitálnym podpisom) alebo zvoliť alternatívne zrkadlo (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Môžete tiež odstrániť koreňový certifikát DST Root CA X3 zo súboru /etc/ssl/cert.pem.
- V DragonFly BSD sú podobné problémy pozorované pri práci s DPort. Pri spustení správcu balíkov pkg sa zobrazí chyba overenia certifikátu. Oprava bola dnes pridaná do hlavnej vetvy DragonFly_RELEASE_6_0 a DragonFly_RELEASE_5_8. Ako riešenie môžete odstrániť certifikát DST Root CA X3.
- Proces overovania certifikátov Let's Encrypt v aplikáciách založených na platforme Electron je prerušený. Problém bol opravený v aktualizáciách 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Niektoré distribúcie majú problémy s prístupom k repozitárom balíkov, keď používajú správcu balíkov APT spojeného so staršími verziami knižnice GnuTLS. Debian 9 bol ovplyvnený problémom, ktorý používal neoplatený balík GnuTLS, čo viedlo k problémom pri prístupe k deb.debian.org pre používateľov, ktorí si aktualizáciu nenainštalovali včas (bola ponúknutá oprava gnutls28-3.5.8-5+deb9u6 dňa 17. septembra). Ako riešenie sa odporúča odstrániť DST_Root_CA_X3.crt zo súboru /etc/ca-certificates.conf.
- Prevádzka acme-client v distribučnej sade na vytváranie firewallov OPNsense bola narušená, problém bol nahlásený vopred, ale vývojári nestihli včas vydať záplatu.
- Problém sa týkal balíka OpenSSL 1.0.2k v RHEL/CentOS 7, no pred týždňom bola vygenerovaná aktualizácia balíka ca-certificates-7-7.el2021.2.50_72.noarch pre RHEL 7 a CentOS 9, z ktorého IdenTrust certifikát bol odstránený, t.j. prejav problému bol vopred zablokovaný. Podobná aktualizácia bola zverejnená pred týždňom pre Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 a Ubuntu 18.04. Keďže aktualizácie vyšli v predstihu, problém s kontrolou certifikátov Let's Encrypt sa týkal iba používateľov starších vetiev RHEL/CentOS a Ubuntu, ktorí si aktualizácie pravidelne neinštalujú.
- Proces overovania certifikátu v grpc je prerušený.
- Vytvorenie platformy Cloudflare Pages zlyhalo.
- Problémy s webovými službami Amazon (AWS).
- Používatelia DigitalOcean majú problémy s pripojením k databáze.
- Cloudová platforma Netlify spadla.
- Problémy s prístupom k službám Xero.
- Pokus o vytvorenie pripojenia TLS k webovému rozhraniu API služby MailGun zlyhal.
- Zlyhania vo verziách macOS a iOS (11, 13, 14), ktoré by problém teoreticky nemal byť ovplyvnený.
- Služby Catchpoint zlyhali.
- Chyba pri overovaní certifikátov pri prístupe k PostMan API.
- Guardian Firewall zlyhal.
- Stránka podpory monday.com je nefunkčná.
- Plošina Cerb havarovala.
- Kontrola dostupnosti v službe Google Cloud Monitoring zlyhala.
- Problém s overením certifikátu v Cisco Umbrella Secure Web Gateway.
- Problémy s pripojením k proxy serverom Bluecoat a Palo Alto.
- OVHcloud má problémy s pripojením k OpenStack API.
- Problémy s generovaním správ v Shopify.
- Vyskytli sa problémy s prístupom k Heroku API.
- Ledger Live Manager zlyhá.
- Chyba overenia certifikátu v nástrojoch Facebook App Developer Tools.
- Problémy v Sophos SG UTM.
- Problémy s overením certifikátu v cPaneli.
Zdroj: opennet.ru