DST Root CA X3 -varmenteen valmistumisen aiheuttamat ongelmat ovat jo alkaneet

Darkcrizt

Ei kommentteja

eilen jaamme uutiset täällä blogissa IdenTrust -varmenteen (DST Root CA X3) päätyttyä Let's Encrypt CA -varmenteen allekirjoittamiseen on aiheuttanut ongelmia Let's Encrypt -varmenteen validoinnissa projekteissa, joissa käytetään OpenSSL- ja GnuTLS -palvelun vanhempia versioita.

Ongelmat koskivat myös LibreSSL -kirjastoa, jonka kehittäjät eivät ottaneet huomioon aiempaa kokemusta kaatumisista, jotka tapahtuivat Sectigo (Comodo) -varmenteen myöntäjän AddTrust -päävarmenteen vanhentumisen jälkeen.

Ja se OpenSSL -versioissa 1.0.2 (mukaan lukien) ja GnuTLS -versioissa ennen 3.6.14 tapahtui virhe että se ei sallinut ristiin allekirjoitettujen varmenteiden asianmukaista käsittelyä, jos yksi allekirjoituksessa käytetyistä juurivarmenteista on vanhentunut, vaikka muut voimassa olevat varmenteet säilytettäisiin.

 Virheen ydin on, että aiemmat OpenSSL- ja GnuTLS -versiot jäsensivät varmenteen lineaarisena ketjuna, ottaa huomioon, että RFC 4158: n mukaan varmenne voi edustaa suunnattua hajautettua ympyräkaaviota, jossa on erilaisia ​​luottamusankkureita, jotka on otettava huomioon.

Omalta OpenBSD -projekti julkaisi tänään pikaisesti korjauksia 6.8- ja 6.9 -haaroille, joka korjaa ongelmat LibreSSL: ssä ristiin allekirjoitetun varmenteen vahvistuksen kanssa, yksi luottamusketjun juurivarmenteista on vanhentunut. Ongelman ratkaisuna on suositeltavaa, että hakemistossa / etc / installurl vaihdetaan HTTPS: stä HTTP: ksi (tämä ei uhkaa turvallisuutta, koska päivitykset tarkistetaan lisäksi digitaalisella allekirjoituksella) tai valitse vaihtoehtoinen peili (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

myös vanhentunut DST Root CA X3 -varmenne voidaan poistaa /etc/ssl/cert.pem -tiedostosta, ja binaarijärjestelmän päivitysten asentamiseen käytetty syspatch -apuohjelma on lakannut toimimasta OpenBSD: ssä.

Samanlaisia ​​DragonFly BSD -ongelmia ilmenee työskenneltäessä DPortien kanssa. Kun käynnistetään pkg -paketinhallinta, varmenteen vahvistusvirhe luodaan. Korjaus on lisätty päähaaroihin DragonFly_RELEASE_6_0 ja DragonFly_RELEASE_5_8 tänään. Voit kiertää ongelman poistamalla DST Root CA X3 -varmenteen.

Osa tapahtuneista epäonnistumisista IdenTrust -varmenteen peruuttamisen jälkeen olivat seuraavat:

  • Let's Encrypt -varmenteen vahvistusprosessi on keskeytetty Electron -alustaan ​​perustuvissa sovelluksissa. Tämä ongelma korjattiin päivityksissä 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Joillakin jakeluilla on vaikeuksia päästä pakettivarastoihin, kun käytetään APT -paketinhallintaa, joka sisältyy GnuTLS -kirjaston vanhempiin versioihin.
  • Debian 9: een vaikutti korjaamaton GnuTLS-paketti, mikä aiheutti ongelmia deb.debian.org-palvelun käytössä käyttäjille, jotka eivät asentaneet päivityksiä ajoissa (korjaa gnutls28-3.5.8-5 + deb9u6 ehdotettiin 17. syyskuuta).
  • Acme -asiakas rikkoi OPNsense -palvelun, ongelmasta ilmoitettiin etukäteen, mutta kehittäjät eivät onnistuneet julkaisemaan korjaustiedostoa ajoissa.
  • Ongelma koski RHEL / CentOS 1.0.2: n OpenSSL 7k -pakettia, mutta viikko sitten RHEL 7: lle ja CentOS 7: lle päivitettiin ca-certificate-2021.2.50-72.el7_9.noarch-paketti, josta IdenTrust -varmenne poistettiin, eli ongelman ilmeneminen estettiin etukäteen.
  • Koska päivitykset julkaistiin aikaisin, Let's Encrypt -varmenteen vahvistuksen ongelma koski vain vanhojen RHEL / CentOS- ja Ubuntu -haarakäyttäjiä, jotka eivät asenna päivityksiä säännöllisesti.
  • Varmenteen vahvistusprosessi grpc: ssä on rikki.
  • Cloudflare -sivualustan luominen epäonnistui.
  • Amazon Web Services (AWS) -ongelmat.
  • DigitalOcean -käyttäjillä on vaikeuksia muodostaa yhteys tietokantaan.
  • Netlify -pilvialustan vika.
  • Ongelmia Xero -palveluiden käytössä.
  • TLS -yhteyden muodostaminen MailGun Web -sovellusliittymän kanssa epäonnistui.
  • MacOS- ja iOS -versioiden vikoja (11, 13, 14), joihin ongelman ei olisi teoriassa pitänyt vaikuttaa.
  • Catchpoint -palveluiden vika.
  • Varmenteiden tarkistaminen PostMan -sovellusliittymää käytettäessä epäonnistui.
  • Guardianin palomuuri kaatui.
  • Häiriö monday.com -tukisivulla.
  • Kaatuminen Cerb -alustalla.
  • Käyttöaikaa ei voi vahvistaa Google Cloud Monitoringissa.
  • Ongelma Cisco Umbrella Secure Web Gatewayn varmenteen vahvistamisessa.
  • Ongelmia yhdistettäessä Bluecoat- ja Palo Alto -välityspalvelimiin.
  • OVHcloudilla on vaikeuksia muodostaa yhteys OpenStack -sovellusliittymään.
  • Ongelmia raporttien luomisessa Shopifyssa.
  • Heroku -sovellusliittymän käytössä on ongelmia.
  • Kaatuminen Ledger Live Managerissa.
  • Varmenteen vahvistusvirhe Facebook -sovellusten kehittämistyökaluissa.
  • Ongelmia Sophos SG UTM: ssä.
  • Ongelmia varmenteiden vahvistamisessa cPanelissa.

Vaihtoehtoisena ratkaisuna ehdotetaan varmenteen "DST Root CA X3" poistamista. järjestelmäkaupasta (/etc/ca-certificates.conf ja / etc / ssl / certs) ja suorita sitten komento "update -ca -ificates -f -v").

CentOS- ja RHEL -palveluissa voit lisätä "DST Root CA X3" -varmenteen mustalle listalle.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.