ProHoster > blogg > internetnyheter > Kraschar i OpenBSD, DragonFly BSD och Electron på grund av att IdenTrust rotcertifikat löper ut

Kraschar i OpenBSD, DragonFly BSD och Electron på grund av att IdenTrust rotcertifikat löper ut

Utfasningen av rotcertifikatet IdenTrust (DST Root CA X3), som används för att korssignera Let's Encrypt CA-rotcertifikatet, har orsakat problem med Let's Encrypt-certifikatverifieringen i projekt som använder äldre versioner av OpenSSL och GnuTLS. Problem påverkade också LibreSSL-biblioteket, vars utvecklare inte tog hänsyn till tidigare erfarenheter i samband med fel som uppstod efter att Sectigo (Comodo) certifikatutfärdares AddTrust rotcertifikat blev föråldrat.

Låt oss komma ihåg att det i OpenSSL-utgåvor till och med gren 1.0.2 och i GnuTLS före utgåvan 3.6.14 fanns en bugg som inte tillät att korssignerade certifikat behandlades korrekt om ett av rotcertifikaten som användes för signering blev föråldrat , även om andra giltiga var bevarade förtroendekedjor (när det gäller Let's Encrypt förhindrar inkuransen av IdenTrust-rotcertifikatet verifiering, även om systemet har stöd för Let's Encrypts eget rotcertifikat, giltigt till 2030). Kärnan i buggen är att äldre versioner av OpenSSL och GnuTLS analyserade certifikatet som en linjär kedja, medan enligt RFC 4158 kan ett certifikat representera en riktad distribuerad cirkulär graf med flera förtroendeankare som måste tas i beaktande.

Som en lösning för att lösa felet föreslås det att du tar bort "DST Root CA X3"-certifikatet från systemminnet (/etc/ca-certificates.conf och /etc/ssl/certs) och sedan kör kommandot "update" -ca-certifikat -f -v” "). På CentOS och RHEL kan du lägga till "DST Root CA X3"-certifikatet till den svarta listan: trust dump —filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extrakt

Några av de krascher vi har sett som inträffade efter att rotcertifikatet för IdenTrust gick ut:

  • I OpenBSD har syspatch-verktyget, som används för att installera binära systemuppdateringar, slutat fungera. OpenBSD-projektet släppte idag akut patchar för grenarna 6.8 och 6.9 som fixar problem i LibreSSL med att kontrollera korssignerade certifikat, vars ett av rotcertifikaten i förtroendekedjan har löpt ut. Som en lösning på problemet rekommenderas det att byta från HTTPS till HTTP i /etc/installurl (detta hotar inte säkerheten, eftersom uppdateringar dessutom verifieras av en digital signatur) eller välj en alternativ spegel (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Du kan också ta bort det utgångna DST Root CA X3 rotcertifikatet från filen /etc/ssl/cert.pem.
  • I DragonFly BSD observeras liknande problem när man arbetar med DPorts. När du startar pkg-pakethanteraren visas ett certifikatverifieringsfel. Fixeringen lades till idag i master-, DragonFly_RELEASE_6_0- och DragonFly_RELEASE_5_8-grenarna. Som en lösning kan du ta bort DST Root CA X3-certifikatet.
  • Processen att verifiera Let's Encrypt-certifikat i applikationer baserade på Electron-plattformen är trasig. Problemet åtgärdades i uppdateringarna 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Vissa distributioner har problem med att komma åt paketförråd när man använder APT-pakethanteraren som är associerad med äldre versioner av GnuTLS-biblioteket. Debian 9 påverkades av problemet, som använde ett oparpat GnuTLS-paket, vilket ledde till problem vid åtkomst till deb.debian.org för användare som inte installerade uppdateringen i tid (fixen gnutls28-3.5.8-5+deb9u6 erbjöds den 17 september). Som en lösning rekommenderar vi att du tar bort DST_Root_CA_X3.crt från filen /etc/ca-certificates.conf.
  • Driften av acme-client i distributionssatsen för att skapa OPNsense-brandväggar stördes; problemet rapporterades i förväg, men utvecklarna lyckades inte släppa en patch i tid.
  • Problemet påverkade OpenSSL 1.0.2k-paketet i RHEL/CentOS 7, men för en vecka sedan genererades en uppdatering av paketet ca-certificates-7-7.el2021.2.50_72.noarch för RHEL 7 och CentOS 9, varifrån IdenTrust certifikat togs bort, d.v.s. manifestationen av problemet blockerades i förväg. En liknande uppdatering publicerades för en vecka sedan för Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 och Ubuntu 18.04. Eftersom uppdateringarna släpptes i förväg påverkade problemet med att kontrollera Let's Encrypt-certifikat endast användare av äldre grenar av RHEL/CentOS och Ubuntu som inte regelbundet installerar uppdateringar.
  • Certifikatverifieringsprocessen i grpc är trasig.
  • Cloudflare Pages-plattformsbygget misslyckades.
  • Problem med Amazon Web Services (AWS).
  • DigitalOcean-användare har problem med att ansluta till databasen.
  • Netlifys molnplattform har kraschat.
  • Problem med att komma åt Xero-tjänster.
  • Ett försök att upprätta en TLS-anslutning till webb-API:et för MailGun-tjänsten misslyckades.
  • Kraschar i versioner av macOS och iOS (11, 13, 14), som teoretiskt sett inte borde ha påverkats av problemet.
  • Catchpoint-tjänster misslyckades.
  • Fel vid verifiering av certifikat vid åtkomst till PostMan API.
  • Guardian Firewall har kraschat.
  • Supportsidan för monday.com är trasig.
  • Cerb-plattformen har kraschat.
  • Upptidskontrollen misslyckades i Google Cloud Monitoring.
  • Problem med certifikatverifiering i Cisco Umbrella Secure Web Gateway.
  • Problem med att ansluta till Bluecoat och Palo Alto proxyservrar.
  • OVHcloud har problem med att ansluta till OpenStack API.
  • Problem med att generera rapporter i Shopify.
  • Det finns problem med att komma åt Heroku API.
  • Ledger Live Manager kraschar.
  • Certifikatverifieringsfel i Facebook App Developer Tools.
  • Problem i Sophos SG UTM.
  • Problem med certifikatverifiering i cPanel.

Källa: opennet.ru

Lägg en kommentar