Die durch die Fertigstellung des DST Root CA X3-Zertifikats verursachten Probleme haben bereits begonnen

Darkcrizt

4 Minuten

Gestern Wir teilen die Neuigkeiten hier auf dem Blog zur Beendigung des IdenTrust-Zertifikats (DST Root CA X3), das zum Signieren des Let's Encrypt CA-Zertifikats verwendet wird, hat in Projekten mit älteren Versionen von OpenSSL und GnuTLS zu Problemen mit der Let's Encrypt-Zertifikatsvalidierung geführt.

Die Probleme betrafen auch die LibreSSL-Bibliothek, deren Entwickler die bisherigen Erfahrungen mit Abstürzen nach Ablauf des AddTrust-Root-Zertifikats der Zertifizierungsstelle Sectigo (Comodo) nicht berücksichtigt haben.

Und ist, dass in OpenSSL-Versionen bis einschließlich 1.0.2 und in GnuTLS vor 3.6.14 ist ein Fehler aufgetreten dass es die korrekte Verarbeitung von gegensignierten Zertifikaten nicht erlaubte, wenn eines der zum Signieren verwendeten Root-Zertifikate ablief, auch wenn andere gültige aufbewahrt wurden.

 Der Kern des Fehlers besteht darin, dass frühere Versionen von OpenSSL und GnuTLS das Zertifikat als lineare Kette geparst haben. wohingegen gemäß RFC 4158 ein Zertifikat ein gerichtetes verteiltes Tortendiagramm mit verschiedenen Vertrauensankern darstellen kann, die berücksichtigt werden müssen.

Mittlerweile das OpenBSD-Projekt hat heute dringend Patches für die Zweige 6.8 und 6.9 veröffentlicht, die Probleme in LibreSSL mit der Überprüfung kreuzsignierter Zertifikate beheben, ist eines der Stammzertifikate in der Vertrauenskette abgelaufen. Als Lösung des Problems empfiehlt es sich in /etc/installurl, von HTTPS auf HTTP umzustellen (dies gefährdet die Sicherheit nicht, da Updates zusätzlich per digitaler Signatur verifiziert werden) oder einen alternativen Mirror auszuwählen (ftp.usa.openbsd.org .) , ftp.hostserver.de, cdn.openbsd.org).

auch abgelaufenes DST-Root-CA-X3-Zertifikat kann entfernt werden aus der Datei /etc/ssl/cert.pem, und das Dienstprogramm syspatch, das zum Installieren von Binärsystem-Updates verwendet wird, funktioniert unter OpenBSD nicht mehr.

Ähnliche DragonFly BSD-Probleme treten bei der Arbeit mit DPorts auf. Beim Starten des Paketmanagers pkg wird ein Zertifikatsvalidierungsfehler generiert. Der Fix wurde heute zu den Hauptzweigen DragonFly_RELEASE_6_0 und DragonFly_RELEASE_5_8 hinzugefügt. Als Problemumgehung können Sie das DST-Root-CA-X3-Zertifikat entfernen.

Einige der aufgetretenen Fehler nachdem das IdenTrust-Zertifikat gekündigt wurde, waren folgende:

  • Bei Anwendungen, die auf der Electron-Plattform basieren, wurde der Zertifikatsüberprüfungsprozess von Let's Encrypt unterbrochen. Dieses Problem wurde in den Updates 12.2.1, 13.5.1, 14.1.0, 15.1.0 behoben.
  • Einige Distributionen haben Probleme beim Zugriff auf Paket-Repositorys, wenn sie den APT-Paketmanager verwenden, der in älteren Versionen der GnuTLS-Bibliothek enthalten ist.
  • Debian 9 war von dem ungepatchten GnuTLS-Paket betroffen, was für Benutzer, die Updates nicht rechtzeitig installierten, Probleme beim Zugriff auf deb.debian.org verursachte (fix gnutls28-3.5.8-5 + deb9u6 wurde am 17. September vorgeschlagen).
  • Der acme-Client brach bei OPNsense ab, das Problem wurde vorzeitig gemeldet, aber die Entwickler haben den Patch nicht rechtzeitig veröffentlicht.
  • Das Problem betraf das OpenSSL 1.0.2k-Paket auf RHEL / CentOS 7, aber vor einer Woche wurde für RHEL 7 und CentOS 7 ein Update auf das ca-certificate-2021.2.50-72.el7_9.noarch-Paket generiert, aus dem The Das IdenTrust-Zertifikat wurde gelöscht, dh die Manifestation des Problems wurde zuvor blockiert.
  • Da die Updates früh veröffentlicht wurden, betraf das Problem bei der Let's Encrypt-Zertifikatsprüfung nur Benutzer der alten RHEL/CentOS- und Ubuntu-Zweig, die nicht regelmäßig Updates installieren.
  • Der Zertifikatsüberprüfungsprozess in grpc ist unterbrochen.
  • Fehler beim Erstellen der Cloudflare-Seitenplattform.
  • Probleme mit Amazon Web Services (AWS).
  • DigitalOcean-Benutzer haben Probleme beim Herstellen einer Verbindung zur Datenbank.
  • Ausfall der Netlify-Cloud-Plattform.
  • Probleme beim Zugriff auf Xero-Dienste.
  • Ein Versuch, eine TLS-Verbindung mit der MailGun-Web-API herzustellen, ist fehlgeschlagen.
  • Bugs in macOS- und iOS-Versionen (11, 13, 14), die theoretisch nicht von dem Problem betroffen sein sollten.
  • Fehler bei Catchpoint-Diensten.
  • Fehler beim Überprüfen der Zertifikate beim Zugriff auf die PostMan-API.
  • Die Guardian-Firewall ist abgestürzt.
  • Störung auf der Supportseite von monday.com.
  • Absturz auf der Cerb-Plattform.
  • Die Verfügbarkeit kann in Google Cloud Monitoring nicht überprüft werden.
  • Problem mit der Zertifikatsvalidierung auf Cisco Umbrella Secure Web Gateway.
  • Probleme beim Verbinden mit Bluecoat- und Palo Alto-Proxys.
  • OVHcloud hat Probleme bei der Verbindung mit der OpenStack-API.
  • Probleme beim Generieren von Berichten in Shopify.
  • Es gibt Probleme beim Zugriff auf die Heroku-API.
  • Absturz im Ledger Live Manager.
  • Fehler bei der Zertifikatsvalidierung in den Tools zur Entwicklung von Facebook-Anwendungen.
  • Probleme mit Sophos SG UTM.
  • Probleme bei der Zertifikatsüberprüfung in cPanel.

Als alternative Lösung wird vorgeschlagen, das Zertifikat «DST Root CA X3» zu entfernen. aus dem Systemspeicher (/etc/ca-certificates.conf und /etc/ssl/certs) und führen dann den Befehl "update-ca -ificates -f -v" aus.

Unter CentOS und RHEL können Sie das Zertifikat "DST Root CA X3" zur Blacklist hinzufügen.


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: AB Internet Networks 2008 SL
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.