主持人 > 博客 > 網絡新聞 > 由於 IdenTrust 根憑證過期,OpenBSD、DragonFly BSD 和 Electron 崩潰

由於 IdenTrust 根憑證過期,OpenBSD、DragonFly BSD 和 Electron 崩潰

用於對 Let's Encrypt CA 根憑證進行交叉簽署的 IdenTrust 根憑證 (DST Root CA X3) 的棄用導致使用舊版 OpenSSL 和 GnuTLS 的專案中的 Let's Encrypt 憑證驗證出現問題。問題也影響到 LibreSSL 庫,該庫的開發人員沒有考慮到 Sectigo (Comodo) CA 的 AddTrust 根憑證過時後出現的故障相關的過去經驗。

讓我們回想一下,在 OpenSSL 分支 1.0.2 之前的版本以及版本 3.6.14 之前的 GnuTLS 中,存在一個錯誤,如果用於簽名的根證書之一已過時,則不允許正確處理交叉簽名證書,即使其他有效的憑證保留了信任鏈(在Let's Encrypt 的情況下,IdenTrust 根憑證的過時會阻止驗證,即使系統支援Let's Encrypt 自己的根憑證,有效期至2030 年)。這個錯誤的要點是,舊版的 OpenSSL 和 GnuTLS 將憑證解析為線性鏈,而根據 RFC 4158,憑證可以表示具有需要考慮的多個信任錨的有向分散式循環圖。

作為解決此故障的解決方法,建議從系統儲存(/etc/ca-certificates.conf 和 /etc/ssl/certs)中刪除“DST Root CA X3”證書,然後執行命令“update” -ca-證書- f -v””)。在CentOS 和RHEL 上,您可以將「DST Root CA X3」憑證新增至黑名單: trust dump —filter “pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1 % 4b%90 %75%ff%c4%15%60%85%89%10" | OpenSSL X509 | OpenSSL X3 sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-XXNUMX.pem sudo update-ca-trust 擷取

我們看到的一些崩潰是在 IdenTrust 根憑證過期後發生的:

  • 在 OpenBSD 中,用於安裝二進位系統更新的 syspatch 公用程式已停止運作。 OpenBSD 專案今天緊急發布了分支 6.8 和 6.9 的補丁,修復了 LibreSSL 中檢查交叉簽名憑證的問題,其中信任鏈中的根憑證之一已過期。作為該問題的解決方法,建議在 /etc/installurl 中從 HTTPS 切換到 HTTP(這不會威脅安全,因為更新也會透過數位簽章進行驗證)或選擇替代鏡像 (ftp.usa.openbsd. org、ftp .hostserver.de、cdn.openbsd.org)。您也可以從 /etc/ssl/cert.pem 檔案中刪除過期的 DST Root CA X3 根憑證。
  • 在 DragonFly BSD 中,使用 DPort 時也會出現類似的問題。啟動pkg套件管理器時,出現憑證驗證錯誤。該修復今天已新增至主分支、DragonFly_RELEASE_6_0 和 DragonFly_RELEASE_5_8 分支。作為解決方法,您可以刪除 DST 根 CA X3 憑證。
  • 在基於 Electron 平台的應用程式中檢查 Let's Encrypt 證書的過程被破壞。該問題已在更新 12.2.1、13.5.1、14.1.0、15.1.0 中修復。
  • 使用與舊版 GnuTLS 庫關聯的 APT 套件管理器時,某些發行版在存取套件儲存庫時會出現問題。 Debian 9 受到該問題的影響,該版本使用了未打補丁的 GnuTLS 軟體包,導致沒有及時安裝更新的用戶訪問 deb.debian.org 時出現問題(提供了 gnutls28-3.5.8-5+deb9u6 修復) 17 月3 日)。作為解決方法,建議從 /etc/ca-certificates.conf 檔案中刪除 DST_Root_CA_XXNUMX.crt。
  • 用於建立 OPNsense 防火牆的分發包中的 acme-client 運行受到干擾;該問題已提前報告,但開發人員未能及時發布修補程式。
  • 該問題影響了RHEL/CentOS 1.0.2 中的OpenSSL 7k 軟體包,但一周前為RHEL 7 和CentOS 7 產生了ca-certificates-2021.2.50-72.el7_9.noarch 軟體包的更新,IdenTrust 從中產生了一個更新憑證已被刪除,即問題的表現提前阻止。一週前針對 Ubuntu 16.04、Ubuntu 14.04、Ubuntu 21.04、Ubuntu 20.04 和 Ubuntu 18.04 發布了類似的更新。由於更新是提前發布的,檢查 Let’s Encrypt 憑證的問題僅影響到 RHEL/CentOS 和 Ubuntu 較舊分支的用戶,這些用戶不定期安裝更新。
  • grpc 中的憑證驗證程序已損壞。
  • Cloudflare Pages 平台建置失敗。
  • Amazon Web Services (AWS) 的問題。
  • DigitalOcean 用戶在連接資料庫時遇到問題。
  • Netlify 雲端平台崩潰了。
  • 存取 Xero 服務時出現問題。
  • 嘗試與 MailGun 服務的 Web API 建立 TLS 連線失敗。
  • macOS 和 iOS 版本(11、13、14)發生崩潰,理論上不應受到該問題的影響。
  • 捕獲點服務失敗。
  • 存取 PostMan API 時驗證憑證時發生錯誤。
  • 守護者防火牆崩潰了。
  • monday.com 支援頁面已損壞。
  • Cerb 平台崩潰了。
  • Google Cloud Monitoring 中的正常運作時間檢查失敗。
  • Cisco Umbrella Secure Web Gateway 中的憑證驗證問題。
  • 連接到 Bluecoat 和帕洛阿爾托代理時出現問題。
  • OVHcloud 連接到 OpenStack API 時遇到問題。
  • 在 Shopify 中產生報告時出現問題。
  • 存取 Heroku API 時出現問題。
  • Ledger Live Manager 崩潰。
  • Facebook 應用程式開發人員工具中的憑證驗證錯誤。
  • Sophos SG UTM 中的問題。
  • cPanel 中的憑證驗證問題。

來源: opennet.ru

添加評論