ProHoster > Blog > internetne novice > Zrušitve v OpenBSD, DragonFly BSD in Electron zaradi poteka veljavnosti korenskega potrdila IdenTrust

Zrušitve v OpenBSD, DragonFly BSD in Electron zaradi poteka veljavnosti korenskega potrdila IdenTrust

Opustitev korenskega potrdila IdenTrust (DST Root CA X3), ki se uporablja za navzkrižno podpisovanje korenskega potrdila CA Let's Encrypt, je povzročila težave pri preverjanju potrdila Let's Encrypt v projektih, ki uporabljajo starejše različice OpenSSL in GnuTLS. Težave so vplivale tudi na knjižnico LibreSSL, katere razvijalci niso upoštevali preteklih izkušenj, povezanih z okvarami, ki so nastale po tem, ko je korensko potrdilo AddTrust Sectigo (Comodo) CA zastarelo.

Naj spomnimo, da je v izdajah OpenSSL do vključno veje 1.0.2 in v GnuTLS pred izdajo 3.6.14 prišlo do napake, ki ni dovoljevala pravilne obdelave navzkrižno podpisanih potrdil, če je eno od korenskih potrdil, uporabljenih za podpisovanje, zastarelo , tudi če so bile druge veljavne ohranjene verige zaupanja (v primeru Let's Encrypt zastarelost korenskega potrdila IdenTrust onemogoča preverjanje, tudi če ima sistem podporo za lastno korensko potrdilo Let's Encrypt, veljavno do leta 2030). Bistvo hrošča je v tem, da sta starejši različici OpenSSL in GnuTLS potrdilo razčlenili kot linearno verigo, medtem ko po RFC 4158 lahko potrdilo predstavlja usmerjen porazdeljen krožni graf z več sidri zaupanja, ki jih je treba upoštevati.

Kot rešitev za odpravo napake je predlagano, da izbrišete potrdilo »DST Root CA X3« iz sistemskega pomnilnika (/etc/ca-certificates.conf in /etc/ssl/certs) in nato zaženete ukaz »update«. -ca-certifikati -f -v” "). V CentOS in RHEL lahko dodate potrdilo »DST Root CA X3« na črni seznam: izpis zaupanja —filter »pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract

Nekaj ​​zrušitev, ki smo jih opazili in so se zgodile po poteku korenskega potrdila IdenTrust:

  • V OpenBSD je pripomoček syspatch, ki se uporablja za namestitev binarnih sistemskih posodobitev, prenehal delovati. Projekt OpenBSD je danes nujno izdal popravke za veji 6.8 in 6.9, ki odpravljajo težave v LibreSSL s preverjanjem navzkrižno podpisanih potrdil, katerih eno od korenskih potrdil v verigi zaupanja je poteklo. Kot rešitev za težavo je priporočljivo preklopiti s HTTPS na HTTP v /etc/installurl (to ne ogroža varnosti, saj so posodobitve dodatno preverjene z digitalnim podpisom) ali izbrati alternativno ogledalo (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Prav tako lahko odstranite poteklo korensko potrdilo DST Root CA X3 iz datoteke /etc/ssl/cert.pem.
  • V DragonFly BSD so podobne težave opažene pri delu z DPorts. Pri zagonu upravitelja paketov pkg se prikaže napaka pri preverjanju potrdila. Popravek je bil danes dodan vejam master, DragonFly_RELEASE_6_0 in DragonFly_RELEASE_5_8. Kot rešitev lahko odstranite potrdilo DST Root CA X3.
  • Postopek preverjanja Let's Encrypt certifikatov v aplikacijah, ki temeljijo na platformi Electron, je pokvarjen. Težava je bila odpravljena v posodobitvah 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Nekatere distribucije imajo težave z dostopom do skladišč paketov, ko uporabljajo upravitelja paketov APT, povezanega s starejšimi različicami knjižnice GnuTLS. Težava je prizadela Debian 9, ki je uporabljal nepopravljen paket GnuTLS, kar je povzročilo težave pri dostopu do deb.debian.org za uporabnike, ki niso pravočasno namestili posodobitve (ponujen je bil popravek gnutls28-3.5.8-5+deb9u6 17. septembra). Kot rešitev je priporočljivo odstraniti DST_Root_CA_X3.crt iz datoteke /etc/ca-certificates.conf.
  • Delovanje acme-client v distribucijskem kompletu za ustvarjanje požarnih zidov OPNsense je bilo moteno, težava je bila prijavljena vnaprej, vendar razvijalci niso uspeli pravočasno izdati popravka.
  • Težava je vplivala na paket OpenSSL 1.0.2k v RHEL/CentOS 7, vendar je bila pred tednom dni ustvarjena posodobitev paketa ca-certificates-7-7.el2021.2.50_72.noarch za RHEL 7 in CentOS 9, iz katere je IdenTrust potrdilo je bilo odstranjeno, tj. manifestacija problema je bila vnaprej blokirana. Podobna posodobitev je bila objavljena pred tednom dni za Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 in Ubuntu 18.04. Ker so bile posodobitve izdane vnaprej, je težava pri preverjanju certifikatov Let's Encrypt vplivala le na uporabnike starejših vej RHEL/CentOS in Ubuntu, ki posodobitev ne nameščajo redno.
  • Postopek preverjanja potrdila v grpc je pokvarjen.
  • Gradnja platforme Cloudflare Pages ni uspela.
  • Težave z Amazon Web Services (AWS).
  • Uporabniki DigitalOcean imajo težave pri povezovanju z bazo podatkov.
  • Oblačna platforma Netlify se je zrušila.
  • Težave pri dostopu do storitev Xero.
  • Poskus vzpostavitve povezave TLS s spletnim API-jem storitve MailGun ni uspel.
  • Zrušitve v različicah macOS in iOS (11, 13, 14), na katere teoretično težava ne bi smela vplivati.
  • Storitve Catchpoint niso uspele.
  • Napaka pri preverjanju potrdil pri dostopu do API-ja PostMan.
  • Požarni zid Guardian se je zrušil.
  • Stran za podporo monday.com ne deluje.
  • Platforma Cerb se je zrušila.
  • Preverjanje časa delovanja v storitvi Google Cloud Monitoring ni uspelo.
  • Težava s preverjanjem potrdila v Cisco Umbrella Secure Web Gateway.
  • Težave pri povezovanju s posredniki Bluecoat in Palo Alto.
  • OVHcloud ima težave pri povezovanju z API-jem OpenStack.
  • Težave z ustvarjanjem poročil v Shopifyju.
  • Pri dostopu do API-ja Heroku so težave.
  • Ledger Live Manager se zruši.
  • Napaka pri preverjanju potrdila v orodjih za razvijalce aplikacij Facebook.
  • Težave v Sophos SG UTM.
  • Težave s preverjanjem certifikata v cPanelu.

Vir: opennet.ru

Dodaj komentar