Huacha kufanya kazi katika OpenBSD, DragonFly BSD na Electron kutokana na kuisha kwa cheti cha mizizi ya IdenTrust

Kuacha kutumika kwa cheti cha mizizi ya IdenTrust (DST Root CA X3), kinachotumika kutia saini cheti cha mizizi ya Let's Encrypt CA, kumesababisha matatizo na uthibitishaji wa cheti cha Hebu Tufiche katika miradi kwa kutumia matoleo ya awali ya OpenSSL na GnuTLS. Matatizo pia yaliathiri maktaba ya LibreSSL, ambayo wasanidi programu hawakuzingatia uzoefu wa awali unaohusishwa na hitilafu zilizotokea baada ya cheti cha mizizi cha Sectigo (Comodo) CA's AddTrust kutotumika.

Tukumbuke kwamba katika matoleo ya OpenSSL hadi tawi la 1.0.2 likijumlishwa na katika GnuTLS kabla ya kutolewa kwa 3.6.14, kulikuwa na hitilafu ambayo haikuruhusu vyeti vilivyotiwa saini kushughulikiwa ipasavyo ikiwa mojawapo ya cheti cha mizizi kilichotumiwa kutia saini kilipitwa na wakati. , hata kama zile zingine halali zilihifadhiwa (katika kesi ya Let's Encrypt, kutotumika kwa cheti cha mizizi ya IdenTrust huzuia uthibitishaji, hata kama mfumo unaauni cheti cha msingi cha Let's Encrypt, halali hadi 2030). Kiini cha hitilafu ni kwamba matoleo ya awali ya OpenSSL na GnuTLS yalichanganua cheti kama msururu wa mstari, ilhali kulingana na RFC 4158, cheti kinaweza kuwakilisha grafu ya mviringo iliyosambazwa iliyo na nanga nyingi za uaminifu ambazo zinahitaji kuzingatiwa.

Kama njia ya kutatua hitilafu, inapendekezwa kufuta cheti cha "DST Root CA X3" kutoka kwa hifadhi ya mfumo (/etc/ca-certificates.conf na /etc/ssl/certs), kisha utekeleze amri ya "sasisha". -ca-vyeti -f -v" "). Kwenye CentOS na RHEL, unaweza kuongeza cheti cha “DST Root CA X3” kwenye orodha iliyoidhinishwa: kutupa uaminifu—chujio “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | kufungua x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust dondoo

Baadhi ya matukio ya kuacha kufanya kazi ambayo tumeona yalitokea baada ya cheti cha mizizi cha IdenTrust kuisha muda wake:

• Katika OpenBSD, shirika la syspatch, lililotumiwa kusakinisha sasisho za mfumo wa binary, limeacha kufanya kazi. Mradi wa OpenBSD leo umetoa viraka kwa matawi 6.8 na 6.9 ambayo hurekebisha matatizo katika LibreSSL kwa kuangalia vyeti vilivyotiwa saini, mojawapo ya vyeti vya mizizi katika msururu wa uaminifu ambao muda wake umeisha. Kama njia ya kutatua tatizo, inashauriwa kubadili kutoka HTTPS hadi HTTP katika /etc/installurl (hii haitishi usalama, kwani masasisho yanathibitishwa zaidi na sahihi ya dijiti) au uchague kioo mbadala (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Unaweza pia kuondoa cheti cha mizizi cha DST Root CA X3 kilichoisha muda wake kutoka kwa faili ya /etc/ssl/cert.pem.
• Katika DragonFly BSD, matatizo sawa huzingatiwa wakati wa kufanya kazi na DPorts. Wakati wa kuanza meneja wa kifurushi cha pkg, hitilafu ya uthibitishaji wa cheti inaonekana. Marekebisho yameongezwa leo kwa matawi kuu, DragonFly_RELEASE_6_0 na DragonFly_RELEASE_5_8. Kama suluhisho, unaweza kuondoa cheti cha DST Root CA X3.
• Mchakato wa kuangalia vyeti vya Hebu Tusimbe kwa njia fiche katika programu kulingana na mfumo wa Electron umevunjika. Tatizo lilirekebishwa katika sasisho 12.2.1, 13.5.1, 14.1.0, 15.1.0.
• Baadhi ya usambazaji una matatizo ya kufikia hazina za vifurushi wakati wa kutumia kidhibiti kifurushi cha APT kinachohusishwa na matoleo ya zamani ya maktaba ya GnuTLS. Debian 9 iliathiriwa na tatizo, ambalo lilitumia kifurushi cha GnuTLS ambacho hakijachapishwa, ambacho kilisababisha matatizo wakati wa kufikia deb.debian.org kwa watumiaji ambao hawakusakinisha sasisho kwa wakati (urekebishaji wa gnutls28-3.5.8-5+deb9u6 ulitolewa. Septemba 17). Kama suluhisho, inashauriwa kuondoa DST_Root_CA_X3.crt kutoka kwa faili ya /etc/ca-certificates.conf.
• Uendeshaji wa mteja wa acme katika kifurushi cha usambazaji cha kuunda ngome za OPNsense ulitatizwa; tatizo liliripotiwa mapema, lakini wasanidi programu hawakuweza kutoa kiraka kwa wakati.
• Tatizo liliathiri kifurushi cha OpenSSL 1.0.2k katika RHEL/CentOS 7, lakini wiki moja iliyopita sasisho la ca-certificates-7-7.el2021.2.50_72.noarch lilitolewa kwa RHEL 7 na CentOS 9, ambapo IdenTrust cheti kiliondolewa, i.e. udhihirisho wa tatizo ulizuiwa mapema. Sasisho kama hilo lilichapishwa wiki moja iliyopita kwa Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 na Ubuntu 18.04. Kwa kuwa masasisho yalitolewa mapema, tatizo la kuangalia vyeti vya Let’s Encrypt liliathiri tu watumiaji wa matawi ya zamani ya RHEL/CentOS na Ubuntu ambao hawakusakinisha masasisho mara kwa mara.
• Mchakato wa uthibitishaji wa cheti katika grpc umevunjika.
• Uundaji wa jukwaa la Kurasa za Cloudflare umeshindwa.
• Matatizo na Amazon Web Services (AWS).
• Watumiaji wa DigitalOcean wana matatizo ya kuunganisha kwenye hifadhidata.
• Mfumo wa wingu wa Netlify umeacha kufanya kazi.
• Matatizo ya kupata huduma za Xero.
• Jaribio la kuanzisha muunganisho wa TLS kwenye API ya Wavuti ya huduma ya MailGun halikufaulu.
• Kuacha kufanya kazi katika matoleo ya macOS na iOS (11, 13, 14), ambayo kinadharia haikupaswa kuathiriwa na tatizo.
• Huduma za kukamata hazijafaulu.
• Hitilafu katika kuthibitisha vyeti wakati wa kufikia API ya PostMan.
• Guardian Firewall imeanguka.
• Ukurasa wa usaidizi wa monday.com umevunjika.
• Jukwaa la Cerb limeanguka.
• Ukaguzi wa muda umeshindwa katika Ufuatiliaji wa Wingu la Google.
• Tatizo la uthibitishaji wa cheti katika Cisco Umbrella Secure Web Gateway.
• Matatizo ya kuunganisha kwa proksi za Bluecoat na Palo Alto.
• OVHcloud ina matatizo ya kuunganisha kwenye API ya OpenStack.
• Matatizo ya kuzalisha ripoti katika Shopify.
• Kuna matatizo ya kufikia API ya Heroku.
• Ledger Live Manager inaacha kufanya kazi.
• Hitilafu ya uthibitishaji wa cheti katika Zana za Msanidi Programu wa Facebook.
• Matatizo katika Sophos SG UTM.
• Matatizo na uthibitishaji wa cheti katika cPanel.

Chanzo: opennet.ru