Проблемите, породени от завършването на DST Root CA X3 сертификата, вече са започнали

Darkcrizt

4 Minutos

Вчера споделяме новините тук в блога при прекратяване на сертификата IdenTrust (DST Root CA X3), използван за подписване на сертификата Let's Encrypt CA, е причинил проблеми с валидирането на сертификата Let's Encrypt в проекти, използващи по -стари версии на OpenSSL и GnuTLS.

Проблемите засегнаха и библиотеката LibreSSL, чиито разработчици не са взели предвид миналия опит, свързан със сривове, настъпили след изтичане на корена на сертификата AddTrust на сертификационния орган Sectigo (Comodo).

И във версии на OpenSSL до 1.0.2 включително и в GnuTLS преди 3.6.14 възникна грешка че не позволява правилната обработка на кръстосано подписани сертификати, ако един от кореновите сертификати, използвани за подписване, е изтекъл, дори ако са били запазени други валидни.

 Същността на грешката е, че предишните версии на OpenSSL и GnuTLS анализираха сертификата като линейна верига, като има предвид, че съгласно RFC 4158, сертификатът може да представлява насочена разпределена кръгова диаграма с различни анкери за доверие, които трябва да бъдат взети под внимание.

От своя страна проектът OpenBSD спешно пусна кръпки за клоновете 6.8 и 6.9 днес, които отстраняват проблеми в LibreSSL с кръстосано потвърдено удостоверяване на сертификат, един от кореновите сертификати във веригата на доверие е изтекъл. Като решение на проблема се препоръчва в / etc / installurl да преминете от HTTPS към HTTP (това не застрашава сигурността, тъй като актуализациите се проверяват допълнително чрез цифров подпис) или да изберете алтернативно огледало (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

също сертификатът за коренен CA X3 с изтекъл срок на годност може да бъде премахнат от файла /etc/ssl/cert.pem и помощната програма syspatch, използвана за инсталиране на двоични системни актуализации, спря да работи на OpenBSD.

Подобни проблеми с DragonFly BSD възникват при работа с DPorts. При стартиране на pkg package manager се генерира грешка при валидиране на сертификат. Поправката е добавена към главните клонове, DragonFly_RELEASE_6_0 и DragonFly_RELEASE_5_8 днес. Като заобиколно решение можете да премахнете DST Root CA X3 сертификата.

Някои от неуспехите, които се случиха след анулирането на сертификата IdenTrust бяха следните:

  • Процесът на проверка на Let's Encrypt сертификат е прекъснат в приложения, базирани на платформата Electron. Този проблем е отстранен в актуализации 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Някои дистрибуции имат проблеми с достъпа до хранилища на пакети, когато използват мениджъра на пакети APT, включен в по -старите версии на библиотеката GnuTLS.
  • Debian 9 беше засегнат от неизправения пакет GnuTLS, което създаде проблеми при достъпа до deb.debian.org за потребители, които не са инсталирали актуализации навреме (поправете gnutls28-3.5.8-5 + deb9u6 на 17 септември).
  • Клиентът на acme се счупи на OPNsense, проблемът беше докладван преди време, но разработчиците не успяха да пуснат пластира навреме.
  • Проблемът засегна пакета OpenSSL 1.0.2k на RHEL / CentOS 7, но преди седмица за RHEL 7 и CentOS 7 беше генерирана актуализация на пакета ca-certificate-2021.2.50-72.el7_9.noarch, от който Сертификатът IdenTrust беше изтрит, тоест проявата на проблема беше блокирана предварително.
  • Тъй като актуализациите бяха пуснати по -рано, проблемът с проверката на сертификата Let's Encrypt засегна само потребителите на старите клонове на RHEL / CentOS и Ubuntu, които не инсталират актуализации редовно.
  • Процесът на проверка на сертификат в grpc е счупен.
  • Създаването на странична платформа Cloudflare не бе успешно.
  • Проблеми с Amazon Web Services (AWS).
  • Потребителите на DigitalOcean имат проблеми при свързването към базата данни.
  • Грешка в облачната платформа на Netlify.
  • Проблеми с достъпа до услуги на Xero.
  • Опитът за установяване на TLS връзка с уеб API на MailGun се провали.
  • Грешки във версии на macOS и iOS (11, 13, 14), които теоретично не би трябвало да бъдат засегнати от проблема.
  • Неуспех на услугите на Catchpoint.
  • Неуспешна проверка на сертификати при достъп до PostMan API.
  • Защитната стена на Guardian се разби.
  • Нарушаване на страницата за поддръжка на monday.com.
  • Срив на платформата Cerb.
  • Не може да се провери ъптаймът в Google Cloud Monitoring.
  • Проблем с валидирането на сертификат на Cisco Umbrella Secure Web Gateway.
  • Проблеми при свързването с прокси сървъри Bluecoat и Palo Alto.
  • OVHcloud има проблеми при свързването с OpenStack API.
  • Проблеми при генерирането на отчети в Shopify.
  • Има проблеми с достъпа до API на Heroku.
  • Срив в Ledger Live Manager.
  • Грешка при валидиране на сертификат в инструментите за разработка на приложения на Facebook.
  • Проблеми в Sophos SG UTM.
  • Проблеми с проверката на сертификатите в cPanel.

Като алтернативно решение се предлага да се изтрие сертификатът «DST Root CA X3» от системното хранилище (/etc/ca-certificates.conf и / etc / ssl / certs) и след това изпълнете командата "update -ca -ificates -f -v").

На CentOS и RHEL можете да добавите сертификата „DST Root CA X3“ към черния списък.


Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорник за данните: AB Internet Networks 2008 SL
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.