Prohoster > Blog > tin tức mạng > Sự cố trong OpenBSD, DragonFly BSD và Electron do chứng chỉ gốc IdenTrust hết hạn

Sự cố trong OpenBSD, DragonFly BSD và Electron do chứng chỉ gốc IdenTrust hết hạn

Việc ngừng sử dụng chứng chỉ gốc IdenTrust (DST Root CA X3), được sử dụng để ký chéo chứng chỉ gốc Let's Encrypt CA, đã gây ra sự cố khi xác minh chứng chỉ Let's Encrypt trong các dự án sử dụng phiên bản OpenSSL và GnuTLS cũ hơn. Các vấn đề cũng ảnh hưởng đến thư viện LibreSSL, các nhà phát triển thư viện này đã không tính đến kinh nghiệm trong quá khứ liên quan đến các lỗi phát sinh sau khi chứng chỉ gốc AddTrust của Sectigo (Comodo) CA trở nên lỗi thời.

Chúng ta hãy nhớ lại rằng trong các bản phát hành OpenSSL lên tới nhánh 1.0.2 và trong GnuTLS trước bản phát hành 3.6.14, có một lỗi không cho phép xử lý chính xác các chứng chỉ có chữ ký chéo nếu một trong các chứng chỉ gốc được sử dụng để ký đã lỗi thời , ngay cả khi những cái hợp lệ khác được duy trì chuỗi tin cậy (trong trường hợp Let's Encrypt, sự lỗi thời của chứng chỉ gốc IdenTrust sẽ ngăn cản việc xác minh, ngay cả khi hệ thống có hỗ trợ chứng chỉ gốc của chính Let's Encrypt, có hiệu lực đến năm 2030). Điểm chính của lỗi là các phiên bản cũ hơn của OpenSSL và GnuTLS đã phân tích chứng chỉ dưới dạng chuỗi tuyến tính, trong khi theo RFC 4158, chứng chỉ có thể biểu thị một biểu đồ tròn phân tán có hướng với nhiều điểm neo tin cậy cần được tính đến.

Để khắc phục lỗi, chúng tôi đề xuất xóa chứng chỉ “DST Root CA X3” khỏi bộ lưu trữ hệ thống (/etc/ca-certificates.conf và /etc/ssl/certs), sau đó chạy lệnh “update -ca-chứng chỉ -f -v” "). Trên CentOS và RHEL, bạn có thể thêm chứng chỉ “DST Root CA X3” vào danh sách đen: Trust dump —filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1% 4b%90 %75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract

Một số sự cố xảy ra sau khi chứng chỉ gốc IdenTrust hết hạn:

  • Trong OpenBSD, tiện ích syspatch, dùng để cài đặt các bản cập nhật hệ thống nhị phân, đã ngừng hoạt động. Dự án OpenBSD hôm nay đã khẩn trương phát hành các bản vá lỗi cho các nhánh 6.8 và 6.9 nhằm khắc phục các sự cố trong LibreSSL bằng việc kiểm tra các chứng chỉ được ký chéo, một trong những chứng chỉ gốc trong chuỗi tin cậy đã hết hạn. Để giải quyết sự cố, bạn nên chuyển từ HTTPS sang HTTP trong /etc/installurl (điều này không đe dọa đến bảo mật vì các bản cập nhật được xác minh bổ sung bằng chữ ký điện tử) hoặc chọn một bản sao thay thế (ftp.usa.openbsd. org, ftp.hostserver.de, cdn.openbsd.org). Bạn cũng có thể xóa chứng chỉ gốc DST Root CA X3 đã hết hạn khỏi tệp /etc/ssl/cert.pem.
  • Trong DragonFly BSD, các vấn đề tương tự cũng xảy ra khi làm việc với DPort. Khi khởi động trình quản lý gói pkg, lỗi xác minh chứng chỉ sẽ xuất hiện. Hôm nay, bản sửa lỗi đã được thêm vào các nhánh chính, DragonFly_RELEASE_6_0 và DragonFly_RELEASE_5_8. Để khắc phục, bạn có thể xóa chứng chỉ DST Root CA X3.
  • Quá trình kiểm tra chứng chỉ Let's Encrypt trong các ứng dụng dựa trên nền tảng Electron bị hỏng. Sự cố đã được khắc phục trong các bản cập nhật 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Một số bản phân phối gặp sự cố khi truy cập kho lưu trữ gói khi sử dụng trình quản lý gói APT được liên kết với các phiên bản cũ hơn của thư viện GnuTLS. Debian 9 bị ảnh hưởng bởi sự cố sử dụng gói GnuTLS chưa được vá, dẫn đến sự cố khi truy cập deb.debian.org đối với những người dùng không cài đặt bản cập nhật kịp thời (bản sửa lỗi gnutls28-3.5.8-5+deb9u6 đã được cung cấp vào ngày 17 tháng 3). Để khắc phục, bạn nên xóa DST_Root_CA_XXNUMX.crt khỏi tệp /etc/ca-certificates.conf.
  • Hoạt động của acme-client trong bộ phân phối để tạo tường lửa OPNsense đã bị gián đoạn, sự cố đã được báo cáo trước nhưng các nhà phát triển đã không kịp phát hành bản vá.
  • Sự cố đã ảnh hưởng đến gói OpenSSL 1.0.2k trong RHEL/CentOS 7, nhưng một tuần trước, bản cập nhật cho gói ca-certificates-7-7.el2021.2.50_72.noarch đã được tạo cho RHEL 7 và CentOS 9, từ đó IdenTrust chứng chỉ đã bị xóa, tức là biểu hiện của vấn đề đã bị chặn trước. Một bản cập nhật tương tự đã được xuất bản cách đây một tuần cho Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 và Ubuntu 18.04. Vì các bản cập nhật đã được phát hành trước nên vấn đề kiểm tra chứng chỉ Let's Encrypt chỉ ảnh hưởng đến người dùng của các nhánh RHEL/CentOS và Ubuntu cũ hơn, những người không thường xuyên cài đặt bản cập nhật.
  • Quá trình xác minh chứng chỉ trong grpc bị hỏng.
  • Xây dựng nền tảng Cloudflare Pages không thành công.
  • Sự cố trong Dịch vụ web của Amazon (AWS).
  • Người dùng DigitalOcean gặp sự cố khi kết nối với cơ sở dữ liệu.
  • Nền tảng đám mây Netlify đã gặp sự cố.
  • Sự cố khi truy cập dịch vụ Xero.
  • Nỗ lực thiết lập kết nối TLS với API Web của dịch vụ MailGun không thành công.
  • Sự cố xảy ra trong các phiên bản macOS và iOS (11, 13, 14), về mặt lý thuyết lẽ ra không bị ảnh hưởng bởi sự cố này.
  • Dịch vụ Catchpoint không thành công.
  • Lỗi xác minh chứng chỉ khi truy cập API PostMan.
  • Tường lửa của Guardian đã bị hỏng.
  • Trang hỗ trợ monday.com bị hỏng.
  • Nền tảng Cerb đã bị hỏng.
  • Kiểm tra thời gian hoạt động không thành công trong Google Cloud Monitor.
  • Sự cố khi xác minh chứng chỉ trong Cổng Web Bảo mật Cisco Umbrella.
  • Sự cố khi kết nối với proxy Bluecoat và Palo Alto.
  • OVHcloud đang gặp sự cố khi kết nối với API OpenStack.
  • Sự cố khi tạo báo cáo trong Shopify.
  • Đã xảy ra sự cố khi truy cập API Heroku.
  • Sổ cái Live Manager gặp sự cố.
  • Lỗi xác minh chứng chỉ trong Công cụ dành cho nhà phát triển ứng dụng Facebook.
  • Các vấn đề trong Sophos SG UTM.
  • Sự cố khi xác minh chứng chỉ trong cPanel.

Nguồn: opennet.ru

Thêm một lời nhận xét