โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > ขัดข้องใน OpenBSD, DragonFly BSD และ Electron เนื่องจากการหมดอายุของใบรับรองรูท IdenTrust

ขัดข้องใน OpenBSD, DragonFly BSD และ Electron เนื่องจากการหมดอายุของใบรับรองรูท IdenTrust

การเลิกใช้งานใบรับรองรูท IdenTrust (DST Root CA X3) ซึ่งใช้ในการลงนามข้ามใบรับรองรูท Let's Encrypt CA ทำให้เกิดปัญหากับการตรวจสอบใบรับรอง Let's Encrypt ในโครงการที่ใช้ OpenSSL และ GnuTLS เวอร์ชันเก่า ปัญหายังส่งผลต่อไลบรารี LibreSSL ซึ่งนักพัฒนาไม่ได้คำนึงถึงประสบการณ์ในอดีตที่เกี่ยวข้องกับความล้มเหลวที่เกิดขึ้นหลังจากใบรับรองรูต AddTrust ของ Sectigo (Comodo) CA ล้าสมัย

ให้เราระลึกว่าใน OpenSSL เปิดตัวจนถึงสาขา 1.0.2 รวมและใน GnuTLS ก่อนรุ่น 3.6.14 มีข้อผิดพลาดที่ไม่อนุญาตให้ประมวลผลใบรับรองที่ลงนามข้ามกันอย่างถูกต้องหากหนึ่งในใบรับรองหลักที่ใช้ในการลงนามล้าสมัย แม้ว่าอันที่ถูกต้องอื่น ๆ จะถูกรักษาไว้เป็นสายโซ่แห่งความไว้วางใจ (ในกรณีของ Let's Encrypt การล้าสมัยของใบรับรองรูท IdenTrust จะป้องกันการตรวจสอบ แม้ว่าระบบจะรองรับใบรับรองรูทของ Let's Encrypt เอง ซึ่งใช้ได้จนถึงปี 2030) สาระสำคัญของจุดบกพร่องคือ OpenSSL และ GnuTLS เวอร์ชันเก่าแยกวิเคราะห์ใบรับรองเป็นแบบลูกโซ่เชิงเส้น ในขณะที่ตาม RFC 4158 ใบรับรองสามารถแสดงกราฟวงกลมแบบกระจายโดยตรงที่มี Trust Anchor หลายตัวที่ต้องนำมาพิจารณา

เพื่อเป็นวิธีแก้ปัญหาชั่วคราวในการแก้ไขความล้มเหลว ขอแนะนำให้ลบใบรับรอง “DST Root CA X3” ออกจากที่เก็บข้อมูลระบบ (/etc/ca-certificates.conf และ /etc/ssl/certs) จากนั้นเรียกใช้คำสั่ง “update” -ca-ใบรับรอง -f -v” ") บน CentOS และ RHEL คุณสามารถเพิ่มใบรับรอง “DST Root CA X3” ไปยังบัญชีดำ: trust dump —filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust แยก

ข้อขัดข้องบางส่วนที่เราพบว่าเกิดขึ้นหลังจากใบรับรองหลัก IdenTrust หมดอายุ:

  • ใน OpenBSD ยูทิลิตี้ syspatch ที่ใช้ในการติดตั้งการอัปเดตระบบไบนารีได้หยุดทำงาน วันนี้โครงการ OpenBSD ได้เปิดตัวแพตช์เร่งด่วนสำหรับสาขา 6.8 และ 6.9 ซึ่งแก้ไขปัญหาใน LibreSSL ด้วยการตรวจสอบใบรับรองแบบ cross-signed ซึ่งเป็นหนึ่งในใบรับรองหลักใน trust chain ที่หมดอายุแล้ว เพื่อเป็นวิธีแก้ปัญหา ขอแนะนำให้เปลี่ยนจาก HTTPS เป็น HTTP ใน /etc/installurl (ซึ่งไม่คุกคามความปลอดภัย เนื่องจากการอัพเดตได้รับการตรวจสอบเพิ่มเติมโดยลายเซ็นดิจิทัล) หรือเลือกมิเรอร์อื่น (ftp.usa.openbsd org, ftp.hostserver.de, cdn.openbsd.org) คุณยังสามารถลบใบรับรองรูท DST Root CA X3 ที่หมดอายุออกจากไฟล์ /etc/ssl/cert.pem
  • ใน DragonFly BSD จะพบปัญหาที่คล้ายกันเมื่อทำงานกับ DPort เมื่อเริ่มต้นตัวจัดการแพ็คเกจ pkg ข้อผิดพลาดในการตรวจสอบใบรับรองจะปรากฏขึ้น วันนี้มีการเพิ่มการแก้ไขในสาขาหลัก DragonFly_RELEASE_6_0 และ DragonFly_RELEASE_5_8 วิธีแก้ปัญหาชั่วคราว คุณสามารถลบใบรับรอง DST Root CA X3 ได้
  • กระบวนการตรวจสอบใบรับรอง Let's Encrypt ในแอปพลิเคชันที่ใช้แพลตฟอร์ม Electron ใช้งานไม่ได้ ปัญหาได้รับการแก้ไขแล้วในการอัปเดต 12.2.1, 13.5.1, 14.1.0, 15.1.0
  • การแจกแจงบางอย่างมีปัญหาในการเข้าถึงที่เก็บแพ็กเกจเมื่อใช้ตัวจัดการแพ็คเกจ APT ที่เชื่อมโยงกับไลบรารี GnuTLS เวอร์ชันเก่า Debian 9 ได้รับผลกระทบจากปัญหา ซึ่งใช้แพ็คเกจ GnuTLS ที่ยังไม่ได้แพตช์ ซึ่งนำไปสู่ปัญหาเมื่อเข้าถึง deb.debian.org สำหรับผู้ใช้ที่ไม่ได้ติดตั้งการอัปเดตทันเวลา (เสนอการแก้ไข gnutls28-3.5.8-5+deb9u6) วันที่ 17 กันยายน) วิธีแก้ปัญหาชั่วคราว แนะนำให้ลบ DST_Root_CA_X3.crt ออกจากไฟล์ /etc/ca-certificates.conf
  • การทำงานของ acme-client ในชุดการแจกจ่ายสำหรับการสร้างไฟร์วอลล์ OPNsense หยุดชะงัก มีการรายงานปัญหาล่วงหน้า แต่นักพัฒนาไม่สามารถปล่อยแพตช์ได้ทันเวลา
  • ปัญหาส่งผลกระทบต่อแพ็คเกจ OpenSSL 1.0.2k ใน RHEL/CentOS 7 แต่เมื่อสัปดาห์ที่แล้วมีการอัปเดตแพ็คเกจ ca-certificates-7-7.el2021.2.50_72.noarch สำหรับ RHEL 7 และ CentOS 9 ซึ่ง IdenTrust ใบรับรองถูกลบออก เช่น การสำแดงของปัญหาถูกปิดกั้นไว้ล่วงหน้า การอัปเดตที่คล้ายกันนี้เผยแพร่เมื่อสัปดาห์ที่แล้วสำหรับ Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 และ Ubuntu 18.04 เนื่องจากมีการเปิดตัวการอัปเดตล่วงหน้า ปัญหาในการตรวจสอบใบรับรอง Let's Encrypt จะส่งผลต่อผู้ใช้สาขา RHEL/CentOS และ Ubuntu รุ่นเก่าที่ไม่ได้ติดตั้งการอัปเดตเป็นประจำเท่านั้น
  • กระบวนการตรวจสอบใบรับรองใน grpc ใช้งานไม่ได้
  • การสร้างแพลตฟอร์ม Cloudflare Pages ล้มเหลว
  • ปัญหากับ Amazon Web Services (AWS)
  • ผู้ใช้ DigitalOcean มีปัญหาในการเชื่อมต่อกับฐานข้อมูล
  • แพลตฟอร์มคลาวด์ Netlify ขัดข้อง
  • ปัญหาในการเข้าถึงบริการ Xero
  • ความพยายามที่จะสร้างการเชื่อมต่อ TLS กับ Web API ของบริการ MailGun ล้มเหลว
  • ข้อขัดข้องในเวอร์ชันของ macOS และ iOS (11, 13, 14) ซึ่งในทางทฤษฎีไม่ควรได้รับผลกระทบจากปัญหา
  • บริการ Catchpoint ล้มเหลว
  • เกิดข้อผิดพลาดในการตรวจสอบใบรับรองเมื่อเข้าถึง PostMan API
  • ไฟร์วอลล์การ์เดียนขัดข้อง
  • หน้าสนับสนุน monday.com ใช้งานไม่ได้
  • แพลตฟอร์ม Cerb ขัดข้อง
  • การตรวจสอบความพร้อมใช้งานล้มเหลวใน Google Cloud Monitoring
  • ปัญหาเกี่ยวกับการตรวจสอบใบรับรองใน Cisco Umbrella Secure Web Gateway
  • ปัญหาการเชื่อมต่อกับพร็อกซี Bluecoat และ Palo Alto
  • OVHcloud กำลังประสบปัญหาในการเชื่อมต่อกับ OpenStack API
  • ปัญหาในการสร้างรายงานใน Shopify
  • เกิดปัญหาในการเข้าถึง Heroku API
  • บัญชีแยกประเภท Live Manager ล้มเหลว
  • ข้อผิดพลาดในการตรวจสอบใบรับรองในเครื่องมือนักพัฒนาแอพ Facebook
  • ปัญหาใน Sophos SG UTM
  • ปัญหาในการตรวจสอบใบรับรองใน cPanel

ที่มา: opennet.ru

เพิ่มความคิดเห็น