Let's Encrypt CA kök sertifikasını çapraz imzalamak için kullanılan IdenTrust kök sertifikasının (DST Root CA X3) kullanımdan kaldırılması, OpenSSL ve GnuTLS'nin eski sürümlerini kullanan projelerde Let's Encrypt sertifika doğrulamasında sorunlara neden oldu. Sorunlar ayrıca geliştiricilerin Sectigo (Comodo) CA'sının AddTrust kök sertifikasının geçerliliğini yitirmesinden sonra ortaya çıkan hatalarla ilgili geçmiş deneyimleri hesaba katmayan LibreSSL kitaplığını da etkiledi.
OpenSSL'in 1.0.2 şubesine kadar olan sürümlerinde ve 3.6.14 sürümünden önceki GnuTLS sürümlerinde, imzalama için kullanılan kök sertifikalardan birinin güncelliğini yitirmesi durumunda çapraz imzalı sertifikaların doğru şekilde işlenmesine izin vermeyen bir hata bulunduğunu hatırlayalım. , diğer geçerli olanlar güven zincirleri korunmuş olsa bile (Let's Encrypt durumunda, IdenTrust kök sertifikasının eskimesi, sistem Let's Encrypt'in 2030'a kadar geçerli olan kendi kök sertifikasını desteklese bile doğrulamayı engeller). Hatanın özü, OpenSSL ve GnuTLS'nin eski sürümlerinin sertifikayı doğrusal bir zincir olarak ayrıştırmasıdır; RFC 4158'e göre ise bir sertifika, dikkate alınması gereken birden fazla güven bağlantısına sahip yönlendirilmiş dağıtılmış dairesel bir grafiği temsil edebilir.
Arızayı gidermek için geçici bir çözüm olarak, “DST Root CA X3” sertifikasının sistem depolama alanından (/etc/ca-certificates.conf ve /etc/ssl/certs) silinmesi ve ardından “update” komutunun çalıştırılması önerilmektedir. -ca-sertifikalar -f -v” "). CentOS ve RHEL'de “DST Root CA X3” sertifikasını kara listeye ekleyebilirsiniz: güven dökümü —filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
IdenTrust kök sertifikasının süresi dolduktan sonra meydana geldiğini gördüğümüz çökmelerden bazıları:
- OpenBSD'de ikili sistem güncellemelerini yüklemek için kullanılan syspatch yardımcı programı çalışmayı durdurdu. OpenBSD projesi bugün, LibreSSL'deki güven zincirindeki kök sertifikalardan birinin süresi dolmuş çapraz imzalı sertifikaların kontrol edilmesiyle ilgili sorunları çözen 6.8 ve 6.9 dalları için yamaları acilen yayınladı. Soruna geçici bir çözüm olarak, /etc/installurl dosyasında HTTPS'den HTTP'ye geçiş yapılması (güncellemeler ayrıca dijital bir imzayla doğrulandığından bu güvenliği tehdit etmez) veya alternatif bir ayna (ftp.usa.openbsd) seçilmesi önerilir. org, ftp.hostserver.de, cdn.openbsd.org). Süresi dolmuş DST Root CA X3 kök sertifikasını /etc/ssl/cert.pem dosyasından da kaldırabilirsiniz.
- DragonFly BSD'de DPort'larla çalışırken benzer sorunlar gözlemleniyor. Pkg paket yöneticisini başlatırken bir sertifika doğrulama hatası görünüyor. Düzeltme bugün ana DragonFly_RELEASE_6_0 ve DragonFly_RELEASE_5_8 dallarına eklendi. Geçici bir çözüm olarak DST Root CA X3 sertifikasını kaldırabilirsiniz.
- Electron platformunu temel alan uygulamalarda Let's Encrypt sertifikalarını doğrulama süreci bozuldu. Sorun 12.2.1, 13.5.1, 14.1.0, 15.1.0 güncellemelerinde düzeltildi.
- Bazı dağıtımlar, GnuTLS kitaplığının eski sürümleriyle ilişkili APT paket yöneticisini kullanırken paket depolarına erişimde sorunlar yaşar. Debian 9, yamalanmamış bir GnuTLS paketi kullanan ve güncellemeyi zamanında yüklemeyen kullanıcılar için deb.debian.org'a erişimde sorunlara yol açan sorundan etkilendi (gnutls28-3.5.8-5+deb9u6 düzeltmesi sunuldu) 17 Eylül'de). Geçici bir çözüm olarak DST_Root_CA_X3.crt dosyasının /etc/ca-certificates.conf dosyasından kaldırılması önerilir.
- OPNsense güvenlik duvarları oluşturmaya yönelik dağıtım kitindeki acme-istemcisinin çalışması kesintiye uğradı, sorun önceden bildirildi, ancak geliştiriciler bir düzeltme ekini zamanında yayınlamayı başaramadı.
- Sorun RHEL/CentOS 1.0.2'deki OpenSSL 7k paketini etkiledi, ancak bir hafta önce RHEL 7 ve CentOS 7 için ca-certificates-2021.2.50-72.el7_9.noarch paketine yönelik bir güncelleme oluşturuldu ve bu güncelleme IdenTrust'tan sağlandı. sertifika kaldırıldı, yani Sorunun tezahürü önceden engellendi. Benzer bir güncelleme bir hafta önce Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 ve Ubuntu 18.04 için yayınlanmıştı. Güncellemeler önceden yayınlandığından, Let's Encrypt sertifikalarının kontrol edilmesindeki sorun yalnızca RHEL/CentOS ve Ubuntu'nun eski şubelerinin güncellemeleri düzenli olarak yüklemeyen kullanıcılarını etkiledi.
- grpc'deki sertifika doğrulama işlemi bozuldu.
- Cloudflare Pages platformu oluşturma işlemi başarısız oldu.
- Amazon Web Services'teki (AWS) sorunlar.
- DigitalOcean kullanıcıları veritabanına bağlanmada sorun yaşıyor.
- Netlify bulut platformu çöktü.
- Xero hizmetlerine erişimde sorunlar.
- MailGun hizmetinin Web API'sine TLS bağlantısı kurma girişimi başarısız oldu.
- Teorik olarak sorundan etkilenmemesi gereken macOS ve iOS sürümlerinde (11, 13, 14) çökmeler.
- Yakalama noktası hizmetleri başarısız oldu.
- PostMan API'sine erişirken sertifikalar doğrulanırken hata oluştu.
- Guardian Güvenlik Duvarı çöktü.
- Monday.com destek sayfası bozuk.
- Cerb platformu çöktü.
- Google Cloud Monitoring'de çalışma denetimi başarısız oldu.
- Cisco Umbrella Secure Web Gateway'de sertifika doğrulamayla ilgili sorun.
- Bluecoat ve Palo Alto proxy'lerine bağlanma sorunları.
- OVHcloud, OpenStack API'sine bağlanmada sorun yaşıyor.
- Shopify'da rapor oluşturmayla ilgili sorunlar.
- Heroku API'sine erişimde sorunlar var.
- Ledger Live Manager çöküyor.
- Facebook Uygulama Geliştirici Araçları'nda sertifika doğrulama hatası.
- Sophos SG UTM'deki sorunlar.
- CPanel'de sertifika doğrulamayla ilgili sorunlar.
Kaynak: opennet.ru