ProHoster > 博客 > 網絡新聞 > OpenBSD、DragonFly BSD 和 Electron 因 IdenTrust 根憑證過期而崩潰

OpenBSD、DragonFly BSD 和 Electron 因 IdenTrust 根憑證過期而崩潰

用於交叉簽章 Let's Encrypt 根憑證的 IdenTrust 根憑證 (DST Root CA X3) 的棄用,導致在使用舊版 OpenSSL 和 GnuTLS 的專案中,Let's Encrypt 憑證驗證出現問題。這些問題也影響了 LibreSSL 函式庫,因為該函式庫未考慮 Sectigo (Comodo) CA 的 AddTrust 根憑證棄用後發生的崩潰經驗。

回想一下,在 OpenSSL 1.0.2 版本及之前的版本,以及 GnuTLS 3.6.14 版本之前,存在一個 bug,如果用於簽署的根證書之一過期,即使其他有效的信任鏈被保留,也無法正確處理交叉簽名證書(對於 Let's Encrypt,如果 IdenTrust 根證書過期,即使支持 Let's Enpt Letcry 2030 月 4158 月 XNUMX 的根憑證。年,也無法進行驗證)。這個 bug 的本質是,舊版的 OpenSSL 和 GnuTLS 將憑證解析為線性鏈,而根據 RFC XNUMX,憑證可以表示有向分散式循環圖,其中包含多個需要考慮的信任錨。

作為解決此錯誤的變通方法,建議從系統儲存(/etc/ca-certificates.conf 和 /etc/ssl/certs)中刪除「DST Root CA X3」證書,然後執行「update-ca-certificates -f -v」命令。 CentOS 對於 RHEL,您可以將「DST Root CA X3」憑證列入黑名單:trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85% 8989975%ff%c4%15%60%85% 89979975% 50% | /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract

自 IdenTrust 根憑證過期以來,暴露出的一些問題包括:

  • 用於安裝二進位系統更新的 syspatch 公用程式已在 OpenBSD 中停止運作。 OpenBSD 專案今天緊急發布了針對 6.8 和 6.9 分支的補丁,修復了 LibreSSL 中交叉簽名憑證檢查的問題,該憑證的信任鏈中的一個根憑證已過期。作為臨時解決方案,建議在 /etc/installurl 中將 HTTPS 切換為 HTTP(這不會造成安全威脅,因為更新也會透過數位簽章進行額外驗證)或選擇其他鏡像(ftp.usa.openbsd.org、ftp.hostserver.de、cdn.openbsd.org)。您也可以從 /etc/ssl/cert.pem 檔案中刪除已過期的 DST Root CA X3 根憑證。
  • DragonFly BSD 與 DPorts 有類似的問題。執行 pkg 套件管理器時,會傳回憑證驗證錯誤。目前已向 master、DragonFly_RELEASE_6_0 和 DragonFly_RELEASE_5_8 分支添加了修復。解決方法是刪除 DST Root CA X3 憑證。
  • Let's Encrypt 憑證驗證在基於 Electron 的應用程式中發生故障。此問題已在 12.2.1、13.5.1、14.1.0 和 15.1.0 更新中修復。
  • 某些發行版在使用與舊版本 GnuTLS 庫關聯的 APT 軟體包管理器存取軟體包儲存庫時遇到問題。 Debian 9 使用了未打補丁的 GnuTLS 軟體包,這導致在訪問 deb 時出現問題。debian對於未能及時安裝更新的使用者(gnutls28-3.5.8-5+deb9u6 修補程式已於 9 月 17 日發布),建議從 /etc/ca-certificates.conf 檔案中移除 DST_Root_CA_X3.crt 檔案作為臨時解決方案。
  • OPNsense 防火牆發行版中的 acme-client 出現故障,該問題已提前報告,但開發人員未能及時發布修補程式。
  • 該問題影響了 RHEL/ 中的 OpenSSL 1.0.2k 軟體包。CentOS 7,但一週前是 RHEL 7 和 CentOS 7日,ca-certificates-2021.2.50-72.el7_9.noarch軟體包發布了更新,其中移除了IdenTrust證書,這意味著該問題已被預先阻止。一週前也發布了類似的更新。 Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04和 Ubuntu 4 月 18 日。由於更新已提前發布,因此 Let's Encrypt 憑證驗證問題僅影響了較舊 RHEL 分支的使用者。CentOS и Ubuntu它們不會定期安裝更新。
  • grpc 中的憑證驗證程序已損壞。
  • 建置 Cloudflare Pages 平台時出現問題。
  • 亞馬遜網路服務 (AWS) 中的問題。
  • DigitalOcean 用戶在連接資料庫時遇到問題。
  • Netlify 雲端平台故障。
  • 存取 Xero 服務時出現問題。
  • 嘗試與 MailGun Web API 建立 TLS 連線時發生錯誤。
  • 版本錯誤 macOS 理論上,iOS(11、13、14)應該不會受到該問題的影響。
  • Catchpoint 服務中斷。
  • 存取 PostMan API 時證書驗證錯誤。
  • 守護防火牆崩潰。
  • monday.com 支援頁面無法正常運作。
  • Cerb平台故障。
  • 無法檢查 Google Cloud Monitoring 中的正常運作時間。
  • Cisco Umbrella 安全性 Web 閘道憑證驗證問題。
  • 連接到 Bluecoat 和 Palo Alto 代理程式時出現問題。
  • OVHcloud 在連接到 OpenStack API 時遇到問題。
  • Shopify 中產生報告時出現問題。
  • 存取 Heroku API 時出現問題。
  • Ledger Live Manager 崩潰。
  • Facebook 開發者工具中的憑證驗證錯誤。
  • Sophos SG UTM 中的問題。
  • cPanel 中的憑證驗證問題。

來源: opennet.ru

為具有 DDoS 保護、VPS VDS 服務器的站點購買可靠的主機 🔥 購買具備 DDoS 防護的可靠網站寄存服務,包括 VPS 和 VDS 伺服器 | ProHoster