Припинення дії кореневого сертифіката компанії IdenTrust (DST Root CA X3), що використовується для крос-підпису кореневого сертифіката засвідчувального центру Let's Encrypt, призвело до проблем із перевіркою сертифікатів Let's Encrypt у проектах, що використовують старі версії Open. Проблеми також торкнулися бібліотеки LibreSSL, розробники якої не врахували минулий досвід, пов'язаний зі збоями, що виникли після старіння кореневого сертифіката AddTrust центру Sectigo (Comodo).
Нагадаємо, що у випусках OpenSSL до гілки 1.0.2 включно і в GnuTLS до випуску 3.6.14, була помилка, що не дозволяла коректно обробити перехресно-підписані сертифікати, у разі застаріння одного з кореневих сертифікатів, задіяних при підписі, навіть ланцюжки довіри (у разі Let's Encrypt старіння кореневого сертифіката IdenTrust не дозволяє виконати перевірку, навіть якщо в системі є підтримка власного кореневого сертифіката Let's Encrypt, що діє до 2030 року). Суть помилки в тому, що старі версії OpenSSL і GnuTLS розбирали сертифікат як лінійний ланцюжок, тоді як відповідно до RFC 4158 сертифікат може представляти орієнтований розподілений циклічний граф з декількома якорями довіри, які потрібно враховувати.
Як обхідний шлях усунення збою пропонується видалити з системного сховища (/etc/ca-certificates.conf і /etc/ssl/certs) сертифікат DST Root CA X3, після чого запустити команду update-ca-certificates -f -v »). У CentOS і RHEL можна додати сертифікат «DST Root CA X3» до чорного списку: trust dump —filter «pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90 %75%ff%c4%15%60%85%89%10» | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract
Деякі з збоїв, що потрапили на очі, виникли після припинення дії кореневого сертифіката IdenTrust:
- В OpenBSD перестала працювати утиліта syspatch, що використовується для встановлення бінарних оновлень системи. Проект OpenBSD в екстреному порядку сьогодні випустив патчі для гілок 6.8 і 6.9, що усувають у LibreSSL проблеми з перевіркою перехресно підписаних сертифікатів, один із кореневих сертифікатів у ланцюжку довіри, у яких прострочений. Як обхідне вирішення проблеми рекомендовано в /etc/installurl переключитися з HTTPS на HTTP (безпеки це не загрожує, оскільки оновлення додатково верифікуються за цифровим підписом) або вибрати альтернативне дзеркало (ftp.usa.openbsd.org, ftp.hostserver.de, cdn.openbsd.org). Також можна видалити прострочений кореневий сертифікат DST Root CA X3 із файлу /etc/ssl/cert.pem.
- У DragonFly BSD аналогічні проблеми спостерігаються під час роботи з DPorts. При запуску пакетного менеджера pkg видається помилка перевірки сертифіката. Виправлення сьогодні додано до гілок master, DragonFly_RELEASE_6_0 та DragonFly_RELEASE_5_8. Як обхідний шлях можна видалити сертифікат DST Root CA X3.
- Порушено процес перевірки сертифікатів Let's Encrypt у додатках на базі платформи Electron. Проблему усунено в оновленнях 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- У деяких дистрибутивах спостерігаються проблеми з доступом до репозиторій пакетів при використанні пакетного менеджера APT, пов'язаного зі старими версіями бібліотеки GnuTLS. Проблему виявився схильний до Debian 9, в якому застосовувався невиправлений пакет GnuTLS, що призвело до проблем при зверненні до deb.debian.org у користувачів, які вчасно не встановили оновлення (виправлення gnutls28-3.5.8-5+deb9u6 було запропоновано 17 вересня). Як обхідний шлях вирішення проблеми рекомендовано видалити DST_Root_CA_X3.crt з файлу /etc/ca-certificates.conf.
- Порушено роботу acme-client у дистрибутиві для створення міжмережевих екранів OPNsense, про проблему було повідомлено заздалегідь, але розробники не встигли вчасно випустити патч.
- Проблема торкалася пакету OpenSSL 1.0.2k в RHEL/CentOS 7, але тиждень тому для RHEL 7 і CentOS 7 було сформовано оновлення пакета ca-certificates-2021.2.50-72.el7_9.noarch, з якого видалено сертифікат IdenTrust, тобто. прояв проблеми заздалегідь було блоковано. Аналогічне оновлення тиждень тому було опубліковано для Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 та Ubuntu 18.04. Оскільки оновлення були випущені заздалегідь, проблема з перевіркою сертифікатів Let's Encrypt торкнулася лише користувачів старих гілок RHEL/CentOS та Ubuntu, які не регулярно встановлюють оновлення.
- Порушено процес перевірки сертифікатів у grpc.
- Збій при збиранні платформи Cloudflare Pages.
- Проблеми у Amazon Web Services (AWS).
- Проблеми з підключенням до БД користувачів DigitalOcean.
- Збій у роботі хмарної платформи Netlify.
- Проблеми з доступом до сервісів Xero.
- Збій при спробі встановити з'єднання TLS до Web API сервісу MailGun.
- Збої у версіях macOS та iOS (11, 13, 14), які теоретична проблема не повинна була торкнутися.
- Збій у сервісах Catchpoint.
- Помилка перевірки сертифікатів під час доступу до API PostMan.
- Збій у роботі Guardian Firewall.
- Порушення сторінки підтримки monday.com.
- Збій у роботі платформи Cerb.
- Збій під час перевірки uptime у Google Cloud Monitoring.
- Проблема із перевіркою сертифікатів у Cisco Umbrella Secure Web Gateway.
- Проблеми з підключенням до проксі Bluecoat та Palo Alto.
- У OVHcloud виникли проблеми із підключенням до OpenStack API.
- Проблеми з генерацією звітів у Shopify.
- Спостерігаються проблеми при зверненні до API Heroku.
- Збій у роботі Ledger Live Manager.
- Помилка перевірки сертифіката в інструментах для розробників програм для Facebook.
- Проблеми у Sophos SG UTM.
- Проблеми з перевіркою сертифікатів у cPanel.
Джерело: opennet.ru