Zhvlerësimi i certifikatës rrënjësore IdenTrust (DST Root CA X3), e përdorur për të nënshkruar certifikatën rrënjë Let's Encrypt CA, ka shkaktuar probleme me verifikimin e certifikatës Let's Encrypt në projektet që përdorin versione më të vjetra të OpenSSL dhe GnuTLS. Problemet prekën gjithashtu bibliotekën LibreSSL, zhvilluesit e së cilës nuk morën parasysh përvojën e kaluar të lidhur me dështimet që u shfaqën pasi certifikata rrënjësore AddTrust e autoritetit të certifikatës Sectigo (Comodo) u vjetërua.
Le të kujtojmë se në versionet OpenSSL deri në degën 1.0.2 përfshirëse dhe në GnuTLS përpara lëshimit 3.6.14, kishte një gabim që nuk lejonte që certifikatat e nënshkruara të kryqëzuara të përpunoheshin siç duhet nëse një nga certifikatat rrënjësore të përdorura për nënshkrim ishte e vjetëruar , edhe nëse ato të tjera të vlefshme do të ruheshin zinxhirë besimi (në rastin e Let's Encrypt, vjetërimi i certifikatës rrënjësore IdenTrust pengon verifikimin, edhe nëse sistemi ka mbështetje për certifikatën rrënjësore të Let's Encrypt, e vlefshme deri në vitin 2030). Thelbi i gabimit është se versionet më të vjetra të OpenSSL dhe GnuTLS e analizuan certifikatën si një zinxhir linear, ndërsa sipas RFC 4158, një certifikatë mund të përfaqësojë një grafik rrethor të shpërndarë të drejtuar me ankora të shumta besimi që duhet të merren parasysh.
Si një zgjidhje për të zgjidhur dështimin, propozohet të fshini certifikatën "DST Root CA X3" nga ruajtja e sistemit (/etc/ca-certificates.conf dhe /etc/ssl/certs), dhe më pas të ekzekutoni komandën "përditëso -ca-certifikata -f -v” "). Në CentOS dhe RHEL, ju mund të shtoni certifikatën "DST Root CA X3" në listën e zezë: hale besimi — filtri "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust ekstrakt
Disa nga ndërprerjet që kemi parë që ndodhën pas skadimit të certifikatës rrënjësore IdenTrust:
- Në OpenBSD, mjeti syspatch, i përdorur për të instaluar përditësime të sistemit binar, ka ndaluar së punuari. Projekti OpenBSD sot lëshoi urgjentisht arnime për degët 6.8 dhe 6.9 që rregullojnë problemet në LibreSSL me kontrollimin e certifikatave të ndërlidhura, një nga certifikatat rrënjësore në zinxhirin e besimit të së cilës ka skaduar. Si një zgjidhje për problemin, rekomandohet të kaloni nga HTTPS në HTTP në /etc/installurl (kjo nuk kërcënon sigurinë, pasi përditësimet verifikohen gjithashtu nga një nënshkrim dixhital) ose zgjidhni një pasqyrë alternative (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Ju gjithashtu mund të hiqni certifikatën rrënjësore të DST Root CA X3 të skaduar nga skedari /etc/ssl/cert.pem.
- Në DragonFly BSD, probleme të ngjashme vërehen kur punoni me DPorts. Kur fillon menaxherin e paketave pkg, shfaqet një gabim i verifikimit të certifikatës. Rregullimi u shtua sot në degët master, DragonFly_RELEASE_6_0 dhe DragonFly_RELEASE_5_8. Si zgjidhje, mund të hiqni certifikatën DST Root CA X3.
- Procesi i kontrollit të certifikatave Let's Encrypt në aplikacionet e bazuara në platformën Electron është i prishur. Problemi u rregullua në përditësimet 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Disa shpërndarje kanë probleme me aksesin në depot e paketave kur përdorin menaxherin e paketave APT të lidhur me versionet më të vjetra të bibliotekës GnuTLS. Debian 9 u prek nga problemi, i cili përdorte një paketë të papatched GnuTLS, e cila çoi në probleme kur hynin në deb.debian.org për përdoruesit që nuk e instaluan përditësimin në kohë (u ofrua rregullimi gnutls28-3.5.8-5+deb9u6 më 17 shtator). Si një zgjidhje, rekomandohet të hiqni DST_Root_CA_X3.crt nga skedari /etc/ca-certificates.conf.
- Funksionimi i acme-client në kompletin e shpërndarjes për krijimin e mureve të zjarrit OPNsense u ndërpre; problemi u raportua paraprakisht, por zhvilluesit nuk arritën të lëshonin një copëz në kohë.
- Problemi preku paketën OpenSSL 1.0.2k në RHEL/CentOS 7, por një javë më parë u krijua një përditësim në paketën ca-certificates-7-7.el2021.2.50_72.noarch për RHEL 7 dhe CentOS 9, nga i cili IdenTrust u hoq certifikata, d.m.th. manifestimi i problemit u bllokua paraprakisht. Një përditësim i ngjashëm u publikua një javë më parë për Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 dhe Ubuntu 18.04. Meqenëse përditësimet u lëshuan paraprakisht, problemi me kontrollimin e certifikatave Let's Encrypt preku vetëm përdoruesit e degëve më të vjetra të RHEL/CentOS dhe Ubuntu të cilët nuk instalonin rregullisht përditësime.
- Procesi i verifikimit të certifikatës në grpc është i prishur.
- Ndërtimi i platformës Cloudflare Pages dështoi.
- Probleme në Shërbimet e Uebit të Amazon (AWS).
- Përdoruesit e DigitalOcean kanë probleme me lidhjen me bazën e të dhënave.
- Platforma cloud Netlify është rrëzuar.
- Probleme me aksesin në shërbimet Xero.
- Një përpjekje për të krijuar një lidhje TLS me Web API të shërbimit MailGun dështoi.
- Dështime në versionet e macOS dhe iOS (11, 13, 14), të cilat teorikisht nuk duhet të ishin prekur nga problemi.
- Shërbimet e pikës së kapjes dështuan.
- Gabim në verifikimin e certifikatave kur qaseni në PostMan API.
- Guardian Firewall është rrëzuar.
- Faqja e mbështetjes monday.com është e prishur.
- Platforma Cerb është rrëzuar.
- Kontrolli i kohës së funksionimit dështoi në Monitorimin e resë kompjuterike të Google.
- Problem me verifikimin e certifikatës në Cisco Umbrella Secure Web Gateway.
- Probleme me lidhjen me përfaqësuesit Bluecoat dhe Palo Alto.
- OVHcloud ka probleme me lidhjen me OpenStack API.
- Probleme me gjenerimin e raporteve në Shopify.
- Ka probleme me aksesin në Heroku API.
- Menaxheri i Ledger Live rrëzohet.
- Gabim verifikimi i certifikatës në Veglat e Zhvilluesit të Aplikacioneve të Facebook.
- Probleme në Sophos SG UTM.
- Probleme me verifikimin e certifikatës në cPanel.
Burimi: opennet.ru