ProHoster > Blog > warta internét > Kacilakaan dina OpenBSD, DragonFly BSD sareng Éléktron kusabab béakna sertipikat akar IdenTrust

Kacilakaan dina OpenBSD, DragonFly BSD sareng Éléktron kusabab béakna sertipikat akar IdenTrust

The deprecation tina sertipikat root IdenTrust (DST Akar CA X3), dipaké pikeun cross-tanda sertipikat akar Let's Encrypt CA, geus ngabalukarkeun masalah sareng verifikasi sertipikat Hayu urang Encrypt dina proyék ngagunakeun versi heubeul tina OpenSSL na GnuTLS. Masalah ogé mangaruhan perpustakaan LibreSSL, pamekar anu henteu nganggap pangalaman baheula anu aya hubunganana sareng kagagalan anu timbul saatos sertipikat akar AddTrust Sectigo (Comodo) CA janten leungit.

Hayu urang émut yén dina OpenSSL ngarilis dugi ka cabang 1.0.2 inklusif sareng di GnuTLS sateuacan ngarilis 3.6.14, aya bug anu henteu ngamungkinkeun sertipikat anu ditandatanganan silang diolah leres upami salah sahiji sertipikat akar anu dianggo pikeun ditandatanganan janten luntur. , sanajan nu sah séjén anu dilestarikan ranté kapercayaan (dina kasus Hayu Encrypt, obsolescence tina sertipikat root IdenTrust nyegah verifikasi, sanajan sistem boga rojongan pikeun sertipikat root Hayu urang Encrypt sorangan, valid nepi ka 2030). Inti bug nyaéta yén versi OpenSSL sareng GnuTLS anu langkung lami ngémutan sertipikat salaku ranté linier, sedengkeun numutkeun RFC 4158, sertipikat tiasa ngagambarkeun grafik sirkular anu disebarkeun diarahkeun sareng sababaraha jangkar amanah anu kedah diperhatoskeun.

Salaku workaround pikeun ngabéréskeun gagalna, diusulkeun mupus sertipikat "DST Root CA X3" tina panyimpenan sistem (/etc/ca-certificates.conf sareng /etc/ssl/certs), teras ngajalankeun paréntah "update". -ca-sertipikat -f -v" "). Dina CentOS sareng RHEL, anjeun tiasa nambihan sertipikat "DST Root CA X3" kana daptar hideung: dump trust —filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust ekstrak

Sababaraha kacilakaan anu urang tingali anu lumangsung saatos sertipikat akar IdenTrust kadaluwarsa:

  • Dina OpenBSD, utilitas syspatch, anu dianggo pikeun masang apdet sistem binér, parantos lirén damel. Proyék OpenBSD dinten ayeuna ngarilis patch pikeun cabang 6.8 sareng 6.9 anu ngalereskeun masalah dina LibreSSL kalayan mariksa sertipikat anu ditandatanganan silang, salah sahiji sertipikat akar dina ranté amanah anu parantos kadaluwarsa. Salaku workaround pikeun masalah, eta disarankeun pikeun pindah ti HTTPS ka HTTP di /etc/installurl (ieu teu ngancem kaamanan, saprak apdet anu Sajaba diverifikasi ku signature digital) atawa pilih eunteung alternatif (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Anjeun oge bisa nyabut sertipikat root DST Akar CA X3 kadaluwarsa tina /etc/ssl/cert.pem file.
  • Dina DragonFly BSD, masalah anu sami dititénan nalika damel sareng DPorts. Nalika ngamimitian manajer pakét pkg, kasalahan verifikasi sertipikat muncul. Perbaikan ieu ditambahkeun dinten ka master, DragonFly_RELEASE_6_0 jeung DragonFly_RELEASE_5_8 cabang. Salaku workaround a, anjeun tiasa nyabut sertipikat DST Akar CA X3.
  • Prosés verifikasi sertipikat Hayu Encrypt dina aplikasi dumasar kana platform Éléktron rusak. Masalahna dibereskeun dina apdet 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Sababaraha distribusi gaduh masalah ngakses repositori pakét nalika nganggo manajer pakét APT anu aya hubunganana sareng vérsi perpustakaan GnuTLS anu langkung lami. Debian 9 kapangaruhan ku masalah, anu ngagunakeun pakét GnuTLS anu henteu dipasang, anu nyababkeun masalah nalika ngaksés deb.debian.org pikeun pangguna anu henteu masang apdet dina waktosna (perbaikan gnutls28-3.5.8-5+deb9u6 ditawarkeun. tanggal 17 Séptémber). Salaku workaround a, eta disarankeun pikeun miceun DST_Root_CA_X3.crt tina file /etc/ca-certificates.conf.
  • Operasi acme-klien dina kit distribusi pikeun nyieun firewalls OPNsense ieu kaganggu masalah ieu dilaporkeun sateuacanna, tapi pamekar teu junun ngaleupaskeun patch dina jangka waktu nu.
  • Masalahna mangaruhan pakét OpenSSL 1.0.2k di RHEL/CentOS 7, tapi saminggu kapengker aya pembaruan kana pakét ca-certificates-7-7.el2021.2.50_72.noarch pikeun RHEL 7 sareng CentOS 9, ti mana IdenTrust. sertipikat ieu dihapus, i.e. manifestasi masalah ieu diblokir sateuacanna. Pembaruan anu sami diterbitkeun saminggu katukang pikeun Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 sareng Ubuntu 18.04. Kusabab apdet dileupaskeun sateuacanna, masalah sareng mariksa sertipikat Let's Encrypt ngan ukur mangaruhan pangguna cabang RHEL / CentOS sareng Ubuntu anu henteu rutin masang apdet.
  • Prosés verifikasi sertipikat di grpc rusak.
  • Ngawangun platform Cloudflare Pages gagal.
  • Masalah dina Amazon Web Services (AWS).
  • Pamaké DigitalOcean gaduh masalah nyambungkeun kana pangkalan data.
  • Platform awan Netlify parantos nabrak.
  • Masalah ngakses jasa Xero.
  • Usaha pikeun nyieun sambungan TLS ka API Wéb tina jasa MailGun gagal.
  • Kacilakaan dina versi macOS sareng iOS (11, 13, 14), anu sacara téoritis henteu kedah kapangaruhan ku masalah éta.
  • jasa Catchpoint gagal.
  • Kasalahan verifikasi sertipikat nalika ngaksés API PostMan.
  • Guardian firewall geus nabrak.
  • Kaca rojongan monday.com rusak.
  • Platform Cerb parantos nabrak.
  • Pamariksaan uptime gagal dina Google Cloud Monitoring.
  • Masalah sareng verifikasi sertipikat di Cisco Umbrella Secure Web Gateway.
  • Masalah nyambungkeun ka proksi Bluecoat sareng Palo Alto.
  • OVHcloud ngalaman masalah nyambungkeun ka OpenStack API.
  • Masalah sareng ngahasilkeun laporan di Shopify.
  • Aya masalah ngakses Heroku API.
  • Ledger Live Manajer ngadat.
  • Kasalahan verifikasi sertipikat dina Alat Pangembang Aplikasi Facebook.
  • Masalah dina Sophos SG UTM.
  • Masalah sareng verifikasi sertipikat dina cPanel.

sumber: opennet.ru

Tambahkeun komentar