أمس نشارك الأخبار هنا على المدونة عند إنهاء شهادة IdenTrust (DST Root CA X3) المستخدمة للتوقيع على شهادة Let's Encrypt CA تسببت في حدوث مشكلات في التحقق من صحة الشهادة Let's Encrypt في المشروعات التي تستخدم إصدارات أقدم من OpenSSL و GnuTLS.
أثرت المشكلات أيضًا على مكتبة LibreSSL ، لم يأخذ مطوروها في الحسبان الخبرة السابقة المتعلقة بالأعطال التي حدثت بعد انتهاء صلاحية شهادة الجذر AddTrust الصادرة عن هيئة شهادات Sectigo (Comodo).
وعليه في إصدارات OpenSSL حتى 1.0.2 وتتضمنها وفي GnuTLS قبل 3.6.14 ، حدث خطأ التي لم تسمح بالمعالجة الصحيحة للشهادات الموقعة عبر التوقيع إذا انتهت صلاحية إحدى الشهادات الجذرية المستخدمة للتوقيع ، حتى إذا تم الاحتفاظ بشهادات صالحة أخرى.
جوهر الخطأ هو أن الإصدارات السابقة من OpenSSL و GnuTLS قامت بتحليل الشهادة كسلسلة خطية ، بينما وفقًا لـ RFC 4158 ، يمكن أن تمثل الشهادة مخططًا دائريًا موزعًا موجهًا به العديد من نقاط الثقة التي يجب مراعاتها.
في غضون أصدر مشروع OpenBSD بشكل عاجل تصحيحات للفروع 6.8 و 6.9 اليوم ، التي تعمل على إصلاح المشكلات في LibreSSL مع التحقق من الشهادة الموقعة عبر التوقيع ، انتهت صلاحية إحدى الشهادات الجذرية في سلسلة الثقة. كحل للمشكلة ، يوصى في / etc / installurl ، بالتغيير من HTTPS إلى HTTP (هذا لا يهدد الأمان ، نظرًا لأنه يتم التحقق من التحديثات بشكل إضافي عن طريق التوقيع الرقمي) أو تحديد نسخة متطابقة بديلة (ftp.usa.openbsd.org ، ftp.hostserver.de، cdn.openbsd .org).
أيضا يمكن إزالة شهادة DST Root CA X3 منتهية الصلاحية من الملف /etc/ssl/cert.pem ، وتوقفت الأداة المساعدة syspatch المستخدمة لتثبيت تحديثات النظام الثنائي عن العمل على OpenBSD.
تحدث مشكلات DragonFly BSD المماثلة عند العمل مع DPorts. عند بدء تشغيل مدير حزمة pkg ، يظهر خطأ في التحقق من صحة الشهادة. تمت إضافة الإصلاح إلى الفروع الرئيسية ، DragonFly_RELEASE_6_0 و DragonFly_RELEASE_5_8 اليوم. كحل بديل ، يمكنك إزالة شهادة DST Root CA X3.
بعض الإخفاقات التي حدثت بعد إلغاء شهادة IdenTrust كان ما يلي:
- تمت مقاطعة عملية التحقق من شهادة Let's Encrypt في التطبيقات القائمة على النظام الأساسي للإلكترون. تم إصلاح هذه المشكلة في التحديثات 12.2.1 ، 13.5.1 ، 14.1.0 ، 15.1.0.
- تواجه بعض التوزيعات مشكلة في الوصول إلى مستودعات الحزم عند استخدام مدير حزم APT المتضمن مع الإصدارات القديمة من مكتبة GnuTLS.
- تأثر Debian 9 بحزمة GnuTLS غير المصححة ، مما تسبب في مشاكل في الوصول إلى deb.debian.org للمستخدمين الذين لم يثبتوا التحديثات في الوقت المناسب (تم اقتراح إصلاح gnutls28-3.5.8-5 + deb9u6 في 17 سبتمبر).
- تعطل عميل acme على OPNsense ، وتم الإبلاغ عن المشكلة مسبقًا ، لكن فشل المطورين في إصدار التصحيح في الوقت المناسب.
- أثرت المشكلة على حزمة OpenSSL 1.0.2k على RHEL / CentOS 7 ، ولكن منذ أسبوع لـ RHEL 7 و CentOS 7 ، تم إنشاء تحديث لحزمة ca-Certificate-2021.2.50-72.el7_9.noarch ، والتي من خلالها تم حذف شهادة IdenTrust ، أي أنه تم حظر مظهر المشكلة مسبقًا.
- منذ إصدار التحديثات مقدمًا ، أثرت مشكلة التحقق من الشهادة Let's Encrypt على مستخدمي فرعي RHEL / CentOS و Ubuntu القدامى فقط ، الذين لا يقومون بتثبيت التحديثات بانتظام.
- عملية التحقق من الشهادة في grpc معطلة.
- فشل إنشاء منصة صفحة Cloudflare.
- مشكلات Amazon Web Services (AWS).
- يواجه مستخدمو DigitalOcean مشكلة في الاتصال بقاعدة البيانات.
- فشل منصة Netlify السحابية.
- مشاكل في الوصول إلى خدمات Xero.
- فشلت محاولة تأسيس اتصال TLS بواجهة برمجة تطبيقات الويب MailGun.
- الأخطاء في إصدارات macOS و iOS (11 ، 13 ، 14) ، والتي من الناحية النظرية لا ينبغي أن تتأثر بالمشكلة.
- فشل خدمات Catchpoint.
- فشل التحقق من الشهادات عند الوصول إلى PostMan API.
- تحطم جدار حماية الجارديان.
- التعطيل على صفحة دعم monday.com.
- تحطم على منصة سيرب.
- تعذر التحقق من الجهوزية في Google Cloud Monitoring.
- مشكلة في التحقق من صحة الشهادة على Cisco Umbrella Secure Web Gateway.
- مشاكل في الاتصال بوكلاء Bluecoat و Palo Alto.
- يواجه OVHcloud مشكلة في الاتصال بواجهة برمجة تطبيقات OpenStack.
- مشاكل إنشاء التقارير في Shopify.
- توجد مشاكل في الوصول إلى واجهة برمجة تطبيقات Heroku.
- تحطم في مدير ليدجر لايف.
- خطأ في التحقق من صحة الشهادة في أدوات تطوير تطبيق Facebook.
- مشاكل في Sophos SG UTM.
- مشاكل التحقق من الشهادة في cPanel.
كحل بديل يقترح إزالة شهادة «DST Root CA X3» من مخزن النظام (/etc/ca-certificates.conf و / etc / ssl / certs) ثم قم بتشغيل الأمر "update-ca -ificates -f -v").
على CentOS و RHEL ، يمكنك إضافة شهادة "DST Root CA X3" إلى القائمة السوداء.