ஐடென்ட்ரஸ்ட் ரூட் சான்றிதழின் (டிஎஸ்டி ரூட் சிஏ எக்ஸ்3) நீக்கம், லெட்ஸ் என்க்ரிப்ட் சிஏ ரூட் சான்றிதழை குறுக்கு-கையொப்பமிட பயன்படுத்தப்பட்டது, ஓபன்எஸ்எஸ்எல் மற்றும் குனுடிஎல்எஸ் ஆகியவற்றின் பழைய பதிப்புகளைப் பயன்படுத்தும் திட்டங்களில் சான்றிதழ் சரிபார்ப்பை குறியாக்கம் செய்வோம் என்பதில் சிக்கல் ஏற்பட்டுள்ளது. சிக்கல்கள் LibreSSL நூலகத்தையும் பாதித்தன, அதன் டெவலப்பர்கள் Sectigo (Comodo) CA இன் AddTrust ரூட் சான்றிதழ் வழக்கற்றுப் போன பிறகு ஏற்பட்ட தோல்விகளுடன் தொடர்புடைய கடந்த கால அனுபவத்தை கணக்கில் எடுத்துக்கொள்ளவில்லை.
OpenSSL வெளியீடுகள் கிளை 1.0.2 உட்பட மற்றும் 3.6.14 வெளியீட்டிற்கு முன் GnuTLS இல், கையொப்பமிடப் பயன்படுத்தப்பட்ட ரூட் சான்றிதழ்களில் ஒன்று காலாவதியானால், குறுக்கு-கையொப்பமிடப்பட்ட சான்றிதழ்களைச் சரியாகச் செயலாக்க அனுமதிக்காத ஒரு பிழை இருந்தது என்பதை நினைவில் கொள்வோம். , பிற செல்லுபடியாகும் நம்பிக்கைச் சங்கிலிகள் பாதுகாக்கப்பட்டிருந்தாலும் (Let's Encrypt விஷயத்தில், IdenTrust ரூட் சான்றிதழின் காலாவதியானது சரிபார்ப்பைத் தடுக்கிறது, 2030 வரை செல்லுபடியாகும் லெட்ஸ் என்க்ரிப்டின் சொந்த ரூட் சான்றிதழுக்கான ஆதரவு கணினியில் இருந்தாலும் சரி). பிழையின் சாராம்சம் என்னவென்றால், OpenSSL மற்றும் GnuTLS இன் பழைய பதிப்புகள் சான்றிதழை நேரியல் சங்கிலியாகப் பாகுபடுத்துகின்றன, அதே நேரத்தில் RFC 4158 இன் படி, ஒரு சான்றிதழ் பல நம்பிக்கை அறிவிப்பாளர்களுடன் இயக்கப்பட்ட வட்ட வரைபடத்தைக் குறிக்கும், அவை கணக்கில் எடுத்துக்கொள்ளப்பட வேண்டும்.
தோல்வியைத் தீர்ப்பதற்கான ஒரு தீர்வாக, கணினி சேமிப்பகத்திலிருந்து (/etc/ca-certificates.conf மற்றும் /etc/ssl/certs) “DST ரூட் CA X3” சான்றிதழை நீக்க முன்மொழியப்பட்டது, பின்னர் “update” கட்டளையை இயக்கவும். -ca-certificates -f -v” "). CentOS மற்றும் RHEL இல், நீங்கள் "DST ரூட் CA X3" சான்றிதழை தடுப்புப்பட்டியலில் சேர்க்கலாம்: Trust dump —filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
IdenTrust ரூட் சான்றிதழ் காலாவதியான பிறகு ஏற்பட்ட சில செயலிழப்புகள்:
- OpenBSD இல், பைனரி சிஸ்டம் புதுப்பிப்புகளை நிறுவப் பயன்படுத்தப்படும் syspatch பயன்பாடு, வேலை செய்வதை நிறுத்திவிட்டது. OpenBSD திட்டம் இன்று கிளைகள் 6.8 மற்றும் 6.9க்கான இணைப்புகளை அவசரமாக வெளியிட்டது, இது LibreSSL இல் குறுக்கு-கையொப்பமிடப்பட்ட சான்றிதழ்களைச் சரிபார்ப்பதில் உள்ள சிக்கல்களைச் சரிசெய்கிறது, இது நம்பிக்கைச் சங்கிலியில் உள்ள ரூட் சான்றிதழ்களில் ஒன்றாகும். சிக்கலுக்கான தீர்வாக, /etc/installurl இல் HTTPS இலிருந்து HTTP க்கு மாறுவது பரிந்துரைக்கப்படுகிறது (இது பாதுகாப்பை அச்சுறுத்தாது, ஏனெனில் புதுப்பிப்புகள் டிஜிட்டல் கையொப்பம் மூலம் சரிபார்க்கப்படுகின்றன) அல்லது மாற்று கண்ணாடியைத் தேர்ந்தெடுக்கவும் (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). /etc/ssl/cert.pem கோப்பிலிருந்து காலாவதியான DST ரூட் CA X3 ரூட் சான்றிதழை நீங்கள் அகற்றலாம்.
- DragonFly BSD இல், DPorts உடன் பணிபுரியும் போது இதே போன்ற சிக்கல்கள் காணப்படுகின்றன. pkg தொகுப்பு மேலாளரைத் தொடங்கும்போது, சான்றிதழ் சரிபார்ப்புப் பிழை தோன்றும். மாஸ்டர், DragonFly_RELEASE_6_0 மற்றும் DragonFly_RELEASE_5_8 கிளைகளில் திருத்தம் இன்று சேர்க்கப்பட்டது. ஒரு தீர்வாக, நீங்கள் DST ரூட் CA X3 சான்றிதழை அகற்றலாம்.
- எலக்ட்ரான் இயங்குதளத்தை அடிப்படையாகக் கொண்ட பயன்பாடுகளில் லெட்ஸ் என்க்ரிப்ட் சான்றிதழ்களைச் சரிபார்க்கும் செயல்முறை முறிந்தது. 12.2.1, 13.5.1, 14.1.0, 15.1.0 புதுப்பிப்புகளில் சிக்கல் சரி செய்யப்பட்டது.
- GnuTLS நூலகத்தின் பழைய பதிப்புகளுடன் தொடர்புடைய APT தொகுப்பு மேலாளரைப் பயன்படுத்தும் போது சில விநியோகங்களில் தொகுப்பு களஞ்சியங்களை அணுகுவதில் சிக்கல்கள் உள்ளன. டெபியன் 9 சிக்கலால் பாதிக்கப்பட்டது, இது இணைக்கப்படாத GnuTLS தொகுப்பைப் பயன்படுத்தியது, இது சரியான நேரத்தில் புதுப்பிப்பை நிறுவாத பயனர்களுக்கு deb.debian.org ஐ அணுகுவதில் சிக்கல்களை ஏற்படுத்தியது (gnutls28-3.5.8-5+deb9u6 பிழைத்திருத்தம் வழங்கப்பட்டது. செப்டம்பர் 17 அன்று). ஒரு தீர்வாக, /etc/ca-certificates.conf கோப்பிலிருந்து DST_Root_CA_X3.crt ஐ அகற்ற பரிந்துரைக்கப்படுகிறது.
- OPNsense ஃபயர்வால்களை உருவாக்குவதற்கான விநியோக கருவியில் acme-client இன் செயல்பாடு சீர்குலைந்தது, ஆனால் டெவலப்பர்கள் சரியான நேரத்தில் ஒரு பேட்சை வெளியிட முடியவில்லை.
- பிரச்சனை RHEL/CentOS 1.0.2 இல் OpenSSL 7k தொகுப்பை பாதித்தது, ஆனால் ஒரு வாரத்திற்கு முன்பு ca-certificates-7-7.el2021.2.50_72.noarch தொகுப்பிற்கான புதுப்பிப்பு RHEL 7 மற்றும் CentOS 9 க்கு உருவாக்கப்பட்டது, அதில் இருந்து IdenTrust சான்றிதழ் அகற்றப்பட்டது, அதாவது. பிரச்சனையின் வெளிப்பாடு முன்கூட்டியே தடுக்கப்பட்டது. உபுண்டு 16.04, உபுண்டு 14.04, உபுண்டு 21.04, உபுண்டு 20.04 மற்றும் உபுண்டு 18.04 ஆகியவற்றிற்கு ஒரு வாரத்திற்கு முன்பு இதே போன்ற புதுப்பிப்பு வெளியிடப்பட்டது. புதுப்பிப்புகள் முன்கூட்டியே வெளியிடப்பட்டதால், லெட்ஸ் என்க்ரிப்ட் சான்றிதழ்களைச் சரிபார்ப்பதில் உள்ள சிக்கல் RHEL/CentOS மற்றும் Ubuntu இன் பழைய கிளைகளின் பயனர்களை மட்டுமே பாதித்தது, அவர்கள் தொடர்ந்து புதுப்பிப்புகளை நிறுவவில்லை.
- grpc இல் சான்றிதழ் சரிபார்ப்பு செயல்முறை உடைந்துவிட்டது.
- Cloudflare Pages இயங்குதள உருவாக்கம் தோல்வியடைந்தது.
- Amazon Web Services (AWS) இல் உள்ள சிக்கல்கள்.
- DigitalOcean பயனர்களுக்கு தரவுத்தளத்துடன் இணைப்பதில் சிக்கல்கள் உள்ளன.
- Netlify கிளவுட் இயங்குதளம் செயலிழந்தது.
- ஜீரோ சேவைகளை அணுகுவதில் சிக்கல்கள்.
- MailGun சேவையின் வலை API உடன் TLS இணைப்பை நிறுவும் முயற்சி தோல்வியடைந்தது.
- மேகோஸ் மற்றும் iOS (11, 13, 14) பதிப்புகளில் செயலிழப்புகள், இது கோட்பாட்டளவில் சிக்கலால் பாதிக்கப்படக்கூடாது.
- கேட்ச்பாயிண்ட் சேவைகள் தோல்வியடைந்தன.
- PostMan API ஐ அணுகும்போது சான்றிதழ்களைச் சரிபார்ப்பதில் பிழை.
- கார்டியன் ஃபயர்வால் செயலிழந்தது.
- monday.com ஆதரவு பக்கம் உடைந்துவிட்டது.
- செர்ப் தளம் செயலிழந்தது.
- Google Cloud Monitoring இல் நேரச் சரிபார்ப்பு தோல்வியடைந்தது.
- Cisco Umbrella Secure Web Gateway இல் சான்றிதழ் சரிபார்ப்பில் சிக்கல்.
- Bluecoat மற்றும் Palo Alto ப்ராக்ஸிகளுடன் இணைப்பதில் சிக்கல்கள்.
- OpenStack API உடன் இணைப்பதில் OVHcloud சிக்கலை எதிர்கொள்கிறது.
- Shopify இல் அறிக்கைகளை உருவாக்குவதில் சிக்கல்கள்.
- Heroku API ஐ அணுகுவதில் சிக்கல்கள் உள்ளன.
- லெட்ஜர் லைவ் மேனேஜர் செயலிழந்தது.
- பேஸ்புக் ஆப் டெவலப்பர் கருவிகளில் சான்றிதழ் சரிபார்ப்பு பிழை.
- Sophos SG UTM இல் உள்ள சிக்கல்கள்.
- cPanel இல் சான்றிதழ் சரிபார்ப்பில் சிக்கல்கள்.
ஆதாரம்: opennet.ru