Ja van iniciar els problemes generats per la finalització de l'certificat DST Root CA X3

Darkcrizt

4 minuts

El dia d'ahir compartim aquí al blog la notícia sobre la terminació de l'certificat IdenTrust (DST Root CA X3) utilitzat per signar el certificat Let 's Encrypt CA ha provocat problemes amb la validació de l'certificat Let' s Encrypt en projectes que utilitzen versions anteriors d'OpenSSL i GnuTLS.

Els problemes també van afectar la biblioteca LibreSSL, els desenvolupadors no van tenir en compte l'experiència passada relacionada amb falles que van ocórrer després que va expirar el certificat arrel AddTrust de l'autoritat de certificació Sectigo (Comodo).

I és que en les versions OpenSSL fins a la 1.0.2 inclosa i en GnuTLS anteriors a la 3.6.14, es va produir un error que no permetia el processament correcte dels certificats amb signatura creuada si un dels certificats root utilitzats per a la signatura vencia, encara que es van mantenir altres vàlides.

 L'essència de l'error és que les versions anteriors d'OpenSSL i GnuTLS van analitzar el certificat com una cadena lineal, mentre que segons RFC 4158, un certificat pot representar un gràfic circular distribuït dirigit amb diversos ancoratges de confiança que s'han de tenir en compte.

Per la seva banda el projecte OpenBSD va llançar amb urgència pegats per a les branques 6.8 i 6.9 avui, que solucionen problemes en LibreSSL amb la verificació de certificats amb signatura creuada, un dels certificats arrel de la cadena de confiança ha expirat. Com a solució a el problema, es recomana a / etc / installurl, es canviï de HTTPS a HTTP (això no amenaça la seguretat, ja que les actualitzacions es verifiquen addicionalment mitjançant signatura digital) o seleccioneu un mirall alternatiu (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

També es pot eliminar el certificat DST Root CA X3 caducat de l'arxiu /etc/ssl/cert.pem, a més que la utilitat syspatch utilitzada per instal·lar actualitzacions de sistema binari ha deixat de funcionar en OpenBSD.

Els problemes similars de DragonFly BSD ocorren quan es treballa amb DPorts. A l'iniciar l'administrador de paquets pkg, es genera un error de validació d'el certificat. La correcció s'ha afegit a les branques mestres, DragonFly_RELEASE_6_0 i DragonFly_RELEASE_5_8 avui. Com a solució alternativa, pot eliminar el certificat DST Root CA X3.

Algunes de les falles que van ocórrer després que es va cancel·lar el certificat de IdenTrust van ser les següents:

  • S'ha interromput el procés de comprovació dels certificats Let 's Encrypt en aplicacions basades en la plataforma Electron. Aquest problema es va solucionar en les actualitzacions 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Algunes distribucions tenen problemes per accedir als repositoris de paquets quan s'usa l'administrador de paquets APT inclòs amb versions anteriors de la biblioteca GnuTLS.
  • Debian setembre es va veure afectat pel paquet GnuTLS sense pegats, el que va provocar problemes per accedir a deb.debian.org per als usuaris que no van instal·lar les actualitzacions a temps (la solució gnutls9-28-3.5.8 + deb5u9 es va proposar el 6 de setembre).
  • El client acme es va trencar en OPNsense, el problema es va informar amb anticipació, però els desenvolupadors no van aconseguir llançar el pegat a temps.
  • El problema va afectar el paquet OpenSSL 1.0.2k en RHEL / CentOS 7, però fa una setmana per RHEL 7 i CentOS 7, es va generar una actualització de l'paquet ca-certificate-2021.2.50-72.el7_9.noarch, a partir d'el qual es va generar el es va eliminar el certificat IdenTrust, és a dir la manifestació de el problema va ser bloquejada per endavant.
  • Atès que les actualitzacions es van publicar amb anticipació, el problema amb la verificació dels certificats Let 's Encrypt va afectar només als usuaris de les antigues branques RHEL / CentOS i Ubuntu, que no instal·len actualitzacions amb regularitat.
  • El procés de verificació de certificats en grpc està trencat.
  • Decisió a l'crear la plataforma de pàgines de Cloudflare.
  • Problemes d'Amazon Web Services (AWS).
  • Els usuaris de DigitalOcean tenen problemes per connectar-se a la base de dades.
  • Fallada en la plataforma en el núvol Netlify.
  • Problemes per accedir als serveis de Xero.
  • Va fallar un intent d'establir una connexió TLS amb l'API web de MailGun.
  • Errors en les versions de macOS i iOS (11, 13, 14), que teòricament no haurien d'haver estat afectats pel problema.
  • Fallada en els serveis de Catchpoint.
  • Error a l'comprovar els certificats a l'accedir a l'API de Postman.
  • The Guardian Firewall es va bloquejar.
  • Interrupció a la pàgina de suport de monday.com.
  • Xoc a la plataforma CERB.
  • No s'ha pogut verificar el temps d'activitat a Google Cloud Monitoring.
  • Problema amb la validació de certificats en Cisco Umbrella Secure Web Gateway.
  • Problemes per connectar-se als servidors intermediaris de Bluecoat i Palo Alto.
  • OVHcloud té problemes per connectar-se a l'API de OpenStack.
  • Problemes per a generar informes en Shopify.
  • Hi ha problemes a l'accedir a l'API de Heroku.
  • Bloqueig en Ledger Live Manager.
  • Error de validació de certificat en les eines de desenvolupament d'aplicacions de Facebook.
  • Problemes en Sophos SG UTM.
  • Problemes amb la verificació de certificats a cPanel.

Com a solució alternativa, es proposa eliminar el certificat «DST Root CA X3» de l'magatzem de sistema (/etc/ca-certificates.conf i / etc / ssl / certs) i després executar la comanda «update-ca -ificates -f -v«).

En CentOS i RHEL, pot afegir el certificat «DST Root CA X3» a la llista negra.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.