Вчера споделяме новините тук в блога при прекратяване на сертификата IdenTrust (DST Root CA X3), използван за подписване на сертификата Let's Encrypt CA, е причинил проблеми с валидирането на сертификата Let's Encrypt в проекти, използващи по -стари версии на OpenSSL и GnuTLS.
Проблемите засегнаха и библиотеката LibreSSL, чиито разработчици не са взели предвид миналия опит, свързан със сривове, настъпили след изтичане на корена на сертификата AddTrust на сертификационния орган Sectigo (Comodo).
И във версии на OpenSSL до 1.0.2 включително и в GnuTLS преди 3.6.14 възникна грешка че не позволява правилната обработка на кръстосано подписани сертификати, ако един от кореновите сертификати, използвани за подписване, е изтекъл, дори ако са били запазени други валидни.
Същността на грешката е, че предишните версии на OpenSSL и GnuTLS анализираха сертификата като линейна верига, като има предвид, че съгласно RFC 4158, сертификатът може да представлява насочена разпределена кръгова диаграма с различни анкери за доверие, които трябва да бъдат взети под внимание.
От своя страна проектът OpenBSD спешно пусна кръпки за клоновете 6.8 и 6.9 днес, които отстраняват проблеми в LibreSSL с кръстосано потвърдено удостоверяване на сертификат, един от кореновите сертификати във веригата на доверие е изтекъл. Като решение на проблема се препоръчва в / etc / installurl да преминете от HTTPS към HTTP (това не застрашава сигурността, тъй като актуализациите се проверяват допълнително чрез цифров подпис) или да изберете алтернативно огледало (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).
също сертификатът за коренен CA X3 с изтекъл срок на годност може да бъде премахнат от файла /etc/ssl/cert.pem и помощната програма syspatch, използвана за инсталиране на двоични системни актуализации, спря да работи на OpenBSD.
Подобни проблеми с DragonFly BSD възникват при работа с DPorts. При стартиране на pkg package manager се генерира грешка при валидиране на сертификат. Поправката е добавена към главните клонове, DragonFly_RELEASE_6_0 и DragonFly_RELEASE_5_8 днес. Като заобиколно решение можете да премахнете DST Root CA X3 сертификата.
Някои от неуспехите, които се случиха след анулирането на сертификата IdenTrust бяха следните:
- Процесът на проверка на Let's Encrypt сертификат е прекъснат в приложения, базирани на платформата Electron. Този проблем е отстранен в актуализации 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Някои дистрибуции имат проблеми с достъпа до хранилища на пакети, когато използват мениджъра на пакети APT, включен в по -старите версии на библиотеката GnuTLS.
- Debian 9 беше засегнат от неизправения пакет GnuTLS, което създаде проблеми при достъпа до deb.debian.org за потребители, които не са инсталирали актуализации навреме (поправете gnutls28-3.5.8-5 + deb9u6 на 17 септември).
- Клиентът на acme се счупи на OPNsense, проблемът беше докладван преди време, но разработчиците не успяха да пуснат пластира навреме.
- Проблемът засегна пакета OpenSSL 1.0.2k на RHEL / CentOS 7, но преди седмица за RHEL 7 и CentOS 7 беше генерирана актуализация на пакета ca-certificate-2021.2.50-72.el7_9.noarch, от който Сертификатът IdenTrust беше изтрит, тоест проявата на проблема беше блокирана предварително.
- Тъй като актуализациите бяха пуснати по -рано, проблемът с проверката на сертификата Let's Encrypt засегна само потребителите на старите клонове на RHEL / CentOS и Ubuntu, които не инсталират актуализации редовно.
- Процесът на проверка на сертификат в grpc е счупен.
- Създаването на странична платформа Cloudflare не бе успешно.
- Проблеми с Amazon Web Services (AWS).
- Потребителите на DigitalOcean имат проблеми при свързването към базата данни.
- Грешка в облачната платформа на Netlify.
- Проблеми с достъпа до услуги на Xero.
- Опитът за установяване на TLS връзка с уеб API на MailGun се провали.
- Грешки във версии на macOS и iOS (11, 13, 14), които теоретично не би трябвало да бъдат засегнати от проблема.
- Неуспех на услугите на Catchpoint.
- Неуспешна проверка на сертификати при достъп до PostMan API.
- Защитната стена на Guardian се разби.
- Нарушаване на страницата за поддръжка на monday.com.
- Срив на платформата Cerb.
- Не може да се провери ъптаймът в Google Cloud Monitoring.
- Проблем с валидирането на сертификат на Cisco Umbrella Secure Web Gateway.
- Проблеми при свързването с прокси сървъри Bluecoat и Palo Alto.
- OVHcloud има проблеми при свързването с OpenStack API.
- Проблеми при генерирането на отчети в Shopify.
- Има проблеми с достъпа до API на Heroku.
- Срив в Ledger Live Manager.
- Грешка при валидиране на сертификат в инструментите за разработка на приложения на Facebook.
- Проблеми в Sophos SG UTM.
- Проблеми с проверката на сертификатите в cPanel.
Като алтернативно решение се предлага да се изтрие сертификатът «DST Root CA X3» от системното хранилище (/etc/ca-certificates.conf и / etc / ssl / certs) и след това изпълнете командата "update -ca -ificates -f -v").
На CentOS и RHEL можете да добавите сертификата „DST Root CA X3“ към черния списък.