Ho nyenyefala ha setifikeiti sa motso sa IdenTrust (DST Root CA X3), se neng se sebelisoa ho saena setifikeiti sa motso sa Let's Encrypt CA, ho bakile mathata ka netefatso ea setifikeiti sa Let's Encrypt diporojekeng re sebelisa mefuta ea khale ea OpenSSL le GnuTLS. Mathata a boetse a ama laeborari ea LibreSSL, eo baetsi ba eona ba sa kang ba ela hloko boiphihlelo ba nakong e fetileng bo amanang le mefokolo e ileng ea hlaha kamora hore setifikeiti sa motso sa Sectigo (Comodo) CA's AddTrust se felloe ke nako.
Ha re hopoleng hore ho litokollo tsa OpenSSL ho fihla lekaleng la 1.0.2 le ho GnuTLS pele ho lokolloa 3.6.14, ho bile le phoso e neng e sa lumelle litifikeiti tse saenneng ho sebetsoa ka nepo haeba se seng sa setifikeiti sa motso se sebelisoang ho saena se ne se felloa ke nako. , le haeba tse ling tse nepahetseng li ne li bolokiloe liketane tsa tšepo (tabeng ea Let's Encrypt, ho se sebetse ha setifikeiti sa motso sa IdenTrust ho thibela netefatso, le haeba sistimi e na le tšehetso bakeng sa setifikeiti sa motso sa Let's Encrypt, se sebetsang ho fihlela 2030). Moko oa bothata ke hore liphetolelo tsa khale tsa OpenSSL le GnuTLS li fetisitse setifikeiti joalo ka ketane ea mela, athe ho latela RFC 4158, setifikeiti se ka emela graph e chitja e phatlalalitsoeng e nang le liankora tse ngata tsa trust tse hlokang ho tsotelloa.
E le mokhoa oa ho rarolla bothata, ho reretsoe ho hlakola setifikeiti sa "DST Root CA X3" polokelong ea sistimi (/etc/ca-certificates.conf le /etc/ssl/certs), ebe o tsamaisa taelo ea "update". -ca-certificates -f -v” "). Ho CentOS le RHEL, o ka eketsa setifikeiti sa "DST Root CA X3" lethathamong le sa tsitsang: trust dump -sefe "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | opensl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
Tse ling tsa likotsi tseo re li boneng tse etsahetseng kamora hore setifikeiti sa motso sa IdenTrust se felloe ke nako:
- Ho OpenBSD, sesebelisoa sa syspatch, se sebelisetsoang ho kenya lisebelisoa tsa tsamaiso ea binary, se emisitse ho sebetsa. Morero oa OpenBSD kajeno o lokolotse likotlo bakeng sa makala a 6.8 le 6.9 a lokisang mathata ho LibreSSL ka ho lekola litifikeiti tse saenneng, e leng e 'ngoe ea litifikeiti tsa motso ka har'a ketane ea trust e felileng. E le mokhoa oa ho rarolla bothata, ho kgothaletswa hore o fetole ho tloha ho HTTPS ho ea ho HTTP ho /etc/installurl (sena ha se sokele tšireletseho, kaha lisebelisoa li boetse li netefatsoa ke signature ea digital) kapa khetha seipone se seng (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). U ka boela ua tlosa lengolo la motso la DST Root CA X3 le felloang ke nako ho tsoa faeleng ea /etc/ssl/cert.pem.
- Ho DragonFly BSD, mathata a tšoanang a bonoa ha o sebetsa le DPorts. Ha o qala molaoli oa sephutheloana sa pkg, ho hlaha phoso ea netefatso ea setifikeiti. Tokiso e kentsoe kajeno ho master, DragonFly_RELEASE_6_0 le DragonFly_RELEASE_5_8 makala. E le mokhoa oa ho sebetsa, o ka tlosa setifikeiti sa DST Root CA X3.
- Ts'ebetso ea ho netefatsa litifikeiti tsa Let's Encrypt lits'ebetsong tse ipapisitseng le sethala sa Electron e robehile. Bothata bo ile ba lokisoa ho liapdeite 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Liphatlalatso tse ling li na le mathata a ho fihlella polokelo ea liphutheloana ha u sebelisa molaoli oa sephutheloana sa APT o amanang le mefuta ea khale ea pokello ea GnuTLS. Debian 9 e ile ea angoa ke bothata, e sebelisitseng sephutheloana sa GnuTLS se sa ngolisoang, se lebisitseng mathateng ha u fumana deb.debian.org bakeng sa basebelisi ba sa kang ba kenya ts'ebetsong ka nako (ho ile ha fanoa ka tokiso ea gnutls28-3.5.8-5+deb9u6 ka la 17 Loetse). E le mokhoa oa ho lokisa, ho kgothaletswa ho tlosa DST_Root_CA_X3.crt ho tswa ho faele ea /etc/ca-certificates.conf.
- Ts'ebetso ea acme-client ka har'a lisebelisoa tsa kabo bakeng sa ho theha li-firewall tsa OPNsense e ile ea sitisoa; bothata bo ile ba tlalehoa esale pele, empa bahlahisi ha ba ka ba khona ho lokolla patch ka nako.
- Bothata bo ile ba ama sephutheloana sa OpenSSL 1.0.2k ho RHEL/CentOS 7, empa bekeng e fetileng ho ile ha etsoa tlhahiso ea sephutheloana sa ca-certificates-7-7.el2021.2.50_72.noarch bakeng sa RHEL 7 le CentOS 9, moo IdenTrust. setifikeiti se ile sa tlosoa, i.e. ponahatso ea bothata e ile ea thibeloa esale pele. Nchafatso e tšoanang e phatlalalitsoe bekeng e fetileng bakeng sa Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 le Ubuntu 18.04. Kaha lintlafatso li lokollotsoe esale pele, bothata ba ho hlahloba litifikeiti tsa Let's Encrypt bo amme feela basebelisi ba makala a khale a RHEL/CentOS le Ubuntu ba sa kenyeng liapdeite khafetsa.
- Ts'ebetso ea netefatso ea setifikeiti ho grpc e robehile.
- Kaho ea sethala sa Cloudflare Pages e hlotsoe.
- Mathata ho Amazon Web Services (AWS).
- Basebelisi ba DigitalOcean ba na le mathata a ho hokela database.
- Sethala sa leru sa Netlify se senyehile.
- Mathata a ho fumana litšebeletso tsa Xero.
- Teko ea ho theha khokahano ea TLS ho Web API ea tšebeletso ea MailGun e hlolehile.
- Ho senyeha ha mefuta ea macOS le iOS (11, 13, 14), eo ho thoeng e ne e sa lokela ho angoa ke bothata.
- Litšebeletso tsa Catchpoint ha lia atleha.
- Phoso ea ho netefatsa litifikeiti ha o kena ho PostMan API.
- Guardian Firewall e senyehile.
- Leqephe la tšehetso la monday.com le robehile.
- Sethala sa Cerb se senyehile.
- Tlhahlobo ea nako e hlolehileng ho Google Cloud Monitoring.
- Taba ea netefatso ea setifikeiti ho Cisco Umbrella Secure Web Gateway.
- Mathata a ho hokahanya le li-proxies tsa Bluecoat le Palo Alto.
- OVHcloud e na le mathata a ho hokela OpenStack API.
- Mathata a ho hlahisa litlaleho ho Shopify.
- Ho na le mathata ho fihlella Heroku API.
- Ledger Live Manager e oa senyeha.
- Phoso ea ho netefatsa setifikeiti ho Lisebelisoa tsa Facebook App Developer.
- Mathata ho Sophos SG UTM.
- Mathata a netefatso ea setifikeiti ho cPanel.
Source: opennet.ru