Let's Encrypt CA ildiz sertifikatini oʻzaro imzolash uchun foydalanilgan IdenTrust ildiz sertifikatining (DST Root CA X3) eskirishi OpenSSL va GnuTLS ning eski versiyalaridan foydalanadigan loyihalarda Let’s Encrypt sertifikatini tekshirish bilan bogʻliq muammolarni keltirib chiqardi. Muammolar LibreSSL kutubxonasiga ham ta'sir qildi, uni ishlab chiquvchilari Sectigo (Comodo) sertifikat organining AddTrust ildiz sertifikati eskirganidan keyin yuzaga kelgan nosozliklar bilan bog'liq o'tmish tajribasini hisobga olmagan.
Eslatib o'tamiz, OpenSSL versiyalarida 1.0.2 inklyuzivgacha va GnuTLS da 3.6.14 versiyasidan oldin imzolash uchun foydalanilgan ildiz sertifikatlaridan biri eskirgan bo'lsa, o'zaro imzolangan sertifikatlarni to'g'ri qayta ishlashga ruxsat bermaydigan xatolik mavjud edi. , agar boshqa yaroqlilari ishonch zanjirlari saqlanib qolgan bo'lsa ham (Let's Encrypt holatida, IdenTrust ildiz sertifikatining eskirganligi, tizim Let's Encrypt-ning 2030 yilgacha amal qiladigan o'z ildiz sertifikatini qo'llab-quvvatlasa ham tekshirishni oldini oladi). Xatoning mohiyati shundan iboratki, OpenSSL va GnuTLS ning eski versiyalari sertifikatni chiziqli zanjir sifatida tahlil qilgan, RFC 4158 ga ko'ra, sertifikat hisobga olinishi kerak bo'lgan bir nechta ishonchli langarlarga ega bo'lgan yo'naltirilgan taqsimlangan dumaloq grafikni ifodalashi mumkin.
Muvaffaqiyatsizlikni bartaraf etish uchun vaqtinchalik yechim sifatida “DST Root CA X3” sertifikatini tizim xotirasidan (/etc/ca-certificates.conf va /etc/ssl/certs) o‘chirish va “yangilash” buyrug‘ini ishga tushirish taklif etiladi. -ca-sertifikatlar -f -v” "). CentOS va RHEL-da siz "DST Root CA X3" sertifikatini qora ro'yxatga qo'shishingiz mumkin: ishonchli dump -filtr "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust ekstrakti
IdenTrust ildiz sertifikatining amal qilish muddati tugaganidan keyin sodir boʻlgan baʼzi nosozliklar:
- OpenBSD-da ikkilik tizim yangilanishlarini o'rnatish uchun ishlatiladigan syspatch yordam dasturi ishlashni to'xtatdi. Bugun OpenBSD loyihasi shoshilinch ravishda 6.8 va 6.9 filiallari uchun yamoqlarni chiqardi, ular LibreSSL-dagi muammolarni oʻzaro imzolangan sertifikatlarni tekshirish orqali tuzatadilar, ularning ishonchli zanjiridagi ildiz sertifikatlaridan biri muddati tugagan. Muammoni hal qilish uchun /etc/installurl-da HTTPS-dan HTTP-ga o'tish tavsiya etiladi (bu xavfsizlikka tahdid solmaydi, chunki yangilanishlar qo'shimcha ravishda raqamli imzo bilan tasdiqlangan) yoki muqobil oynani (ftp.usa.openbsd) tanlang. org, ftp.hostserver.de, cdn.openbsd.org). Shuningdek, muddati o‘tgan DST Root CA X3 ildiz sertifikatini /etc/ssl/cert.pem faylidan olib tashlashingiz mumkin.
- DragonFly BSD-da DPortlar bilan ishlashda shunga o'xshash muammolar kuzatiladi. Pkg paket menejerini ishga tushirishda sertifikatni tekshirish xatosi paydo bo'ladi. Tuzatish bugun master, DragonFly_RELEASE_6_0 va DragonFly_RELEASE_5_8 filiallariga qo'shildi. Vaqtinchalik yechim sifatida siz DST Root CA X3 sertifikatini olib tashlashingiz mumkin.
- Electron platformasi asosidagi ilovalarda Let's Encrypt sertifikatlarini tekshirish jarayoni buzildi. Muammo 12.2.1, 13.5.1, 14.1.0, 15.1.0 yangilanishlarida tuzatildi.
- GnuTLS kutubxonasining eski versiyalari bilan bog'langan APT paket menejeridan foydalanganda ba'zi tarqatishlarda paketlar omborlariga kirishda muammolar mavjud. Debian 9-ga muammo ta'sir ko'rsatdi, bu yangilanishni o'z vaqtida o'rnatmagan foydalanuvchilar uchun deb.debian.org saytiga kirishda muammolarga olib keldi (gnutls28-3.5.8-5+deb9u6 tuzatish taklif qilindi) yangilanmagan GnuTLS paketidan foydalangan. 17 sentyabr). Vaqtinchalik yechim sifatida DST_Root_CA_X3.crt faylini /etc/ca-certificates.conf faylidan olib tashlash tavsiya etiladi.
- OPNsense xavfsizlik devorlarini yaratish uchun tarqatish to'plamidagi acme-mijozning ishlashi buzilgan; muammo oldindan xabar qilingan, ammo ishlab chiquvchilar o'z vaqtida yamoqni chiqarishga muvaffaq bo'lishmagan.
- Muammo RHEL/CentOS 1.0.2-dagi OpenSSL 7k paketiga ta'sir qildi, biroq bir hafta oldin RHEL 7 va CentOS 7 uchun ca-certificates-2021.2.50-72.el7_9.noarch paketiga yangilanish yaratildi, ulardan IdenTrust. sertifikat olib tashlandi, ya'ni. muammoning namoyon bo'lishi oldindan bloklangan. Xuddi shunday yangilanish bir hafta oldin Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 va Ubuntu 18.04 uchun chop etilgan edi. Yangilanishlar oldindan chiqarilganligi sababli, Let's Encrypt sertifikatlarini tekshirish bilan bog'liq muammo faqat yangilanishlarni muntazam o'rnatmaydigan RHEL/CentOS va Ubuntu'ning eski filiallari foydalanuvchilariga ta'sir qildi.
- grpc da sertifikatni tekshirish jarayoni buzilgan.
- Cloudflare Pages platformasini qurish muvaffaqiyatsiz tugadi.
- Amazon Web Services (AWS) bilan bog'liq muammolar.
- DigitalOcean foydalanuvchilari ma'lumotlar bazasiga ulanishda muammolarga duch kelishmoqda.
- Netlify bulutli platformasi ishlamay qoldi.
- Xero xizmatlariga kirishda muammolar.
- MailGun xizmatining Web API-ga TLS ulanishini o'rnatishga urinish muvaffaqiyatsiz tugadi.
- Nazariy jihatdan muammo ta'sir qilmasligi kerak bo'lgan macOS va iOS (11, 13, 14) versiyalarida nosozliklar.
- Catchpoint xizmatlari muvaffaqiyatsiz tugadi.
- PostMan API-ga kirishda sertifikatlarni tekshirishda xatolik yuz berdi.
- Guardian Firewall ishlamay qoldi.
- monday.com qo'llab-quvvatlash sahifasi buzilgan.
- Cerb platformasi qulab tushdi.
- Google Cloud Monitoring xizmatida ish vaqtini tekshirish amalga oshmadi.
- Cisco Umbrella Secure Web Gateway’da sertifikat tekshiruvi bilan bog‘liq muammo.
- Bluecoat va Palo Alto proksi-serverlariga ulanishda muammolar.
- OVHcloud OpenStack API-ga ulanishda muammolarga duch kelmoqda.
- Shopify'da hisobotlarni yaratish bilan bog'liq muammolar.
- Heroku API-ga kirishda muammolar mavjud.
- Ledger Live Manager ishlamay qoldi.
- Facebook ilovasini ishlab chiquvchi asboblarida sertifikatni tekshirish xatosi.
- Sophos SG UTM-dagi muammolar.
- CPanel-da sertifikatni tekshirish bilan bog'liq muammolar.
Manba: opennet.ru