Les problèmes générés par l'achèvement du certificat DST Root CA X3 ont déjà commencé

Le jour d'hier nous partageons l'actualité ici sur le blog sur la résiliation du certificat IdenTrust (DST Root CA X3) utilisé pour signer le certificat Let's Encrypt CA a causé des problèmes avec la validation du certificat Let's Encrypt dans les projets utilisant d'anciennes versions d'OpenSSL et GnuTLS.

Les problèmes ont également affecté la bibliothèque LibreSSL, dont les développeurs n'ont pas pris en compte l'expérience passée liée aux plantages survenus après l'expiration du certificat racine AddTrust de l'autorité de certification Sectigo (Comodo).

Et est-ce dans les versions OpenSSL jusqu'à et y compris 1.0.2 et dans GnuTLS avant 3.6.14, une erreur s'est produite qu'il ne permettait pas le traitement correct des certificats à signature croisée si l'un des certificats racines utilisés pour la signature arrivait à expiration, même si d'autres certificats valides étaient conservés.

 L'essence de l'erreur est que les versions précédentes d'OpenSSL et GnuTLS ont analysé le certificat comme une chaîne linéaire, alors que selon la RFC 4158, un certificat peut représenter un camembert distribué dirigé avec diverses ancres de confiance qui doivent être prises en compte.

En attendant le projet OpenBSD a publié en urgence des correctifs pour les branches 6.8 et 6.9 aujourd'hui, qui résolvent les problèmes dans LibreSSL avec la vérification des certificats à signature croisée, l'un des certificats racine de la chaîne de confiance a expiré. Comme solution au problème, il est recommandé dans /etc/installurl, de passer de HTTPS à HTTP (cela ne menace pas la sécurité, car les mises à jour sont en outre vérifiées par signature numérique) ou de sélectionner un miroir alternatif (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

Aussi le certificat DST Root CA X3 expiré peut être supprimé du fichier /etc/ssl/cert.pem, et l'utilitaire syspatch utilisé pour installer les mises à jour du système binaire a cessé de fonctionner sur OpenBSD.

Des problèmes similaires de DragonFly BSD se produisent lorsque vous travaillez avec DPorts. Lors du démarrage du gestionnaire de packages pkg, une erreur de validation de certificat est générée. Le correctif a été ajouté aux branches principales, DragonFly_RELEASE_6_0 et DragonFly_RELEASE_5_8 aujourd'hui. Pour contourner ce problème, vous pouvez supprimer le certificat DST Root CA X3.

Certains des échecs qui se sont produits après l'annulation du certificat IdenTrust étaient les suivants :

  • Le processus de vérification du certificat Let's Encrypt a été interrompu dans les applications basées sur la plate-forme Electron. Ce problème a été résolu dans les mises à jour 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Certaines distributions ont du mal à accéder aux référentiels de packages lors de l'utilisation du gestionnaire de packages APT inclus avec les anciennes versions de la bibliothèque GnuTLS.
  • Debian 9 se vio afectado por el paquete GnuTLS sin parches, lo que provocó problemas para acceder a deb.debian.org para los usuarios que no instalaron las actualizaciones a tiempo (la solución gnutls28-3.5.8-5 + deb9u6 se propuso el 17 de septembre).
  • Le client acme est tombé en panne sur OPNsense, le problème a été signalé à l'avance, mais les développeurs n'ont pas publié le correctif à temps.
  • Le problème a affecté le package OpenSSL 1.0.2k sur RHEL / CentOS 7, mais il y a une semaine pour RHEL 7 et CentOS 7, une mise à jour du package ca-certificate-2021.2.50-72.el7_9.noarch a été générée, à partir de laquelle le Le certificat IdenTrust a été supprimé, c'est-à-dire que la manifestation du problème a été préalablement bloquée.
  • Étant donné que les mises à jour ont été publiées tôt, le problème avec la vérification des certificats Let's Encrypt n'a affecté que les utilisateurs des anciennes branches RHEL / CentOS et Ubuntu, qui n'installent pas régulièrement les mises à jour.
  • Le processus de vérification du certificat dans grpc est interrompu.
  • Échec de la création de la plate-forme de pages Cloudflare.
  • Problèmes d'Amazon Web Services (AWS).
  • Les utilisateurs de DigitalOcean rencontrent des difficultés pour se connecter à la base de données.
  • Échec de la plate-forme cloud Netlify.
  • Problèmes d'accès aux services Xero.
  • Une tentative d'établissement d'une connexion TLS avec l'API Web MailGun a échoué.
  • Bugs dans les versions macOS et iOS (11, 13, 14), qui n'auraient théoriquement pas dû être affectés par le problème.
  • Échec des services de point de capture.
  • Échec de la vérification des certificats lors de l'accès à l'API PostMan.
  • Le pare-feu Guardian s'est écrasé.
  • Perturbation sur la page d'assistance de monday.com.
  • Crash sur la plateforme Cerb.
  • Impossible de vérifier la disponibilité dans Google Cloud Monitoring.
  • Problème de validation de certificat sur Cisco Umbrella Secure Web Gateway.
  • Problèmes de connexion aux proxys Bluecoat et Palo Alto.
  • OVHcloud a du mal à se connecter à l'API OpenStack.
  • Problèmes de génération de rapports dans Shopify.
  • Il y a des problèmes d'accès à l'API Heroku.
  • Crash dans Ledger Live Manager.
  • Erreur de validation de certificat dans les outils de développement d'applications Facebook.
  • Problèmes dans Sophos SG UTM.
  • Problèmes de vérification de certificat dans cPanel.

Comme solution alternative, il est proposé de supprimer le certificat « DST Root CA X3 » depuis le magasin système (/etc/ca-certificates.conf et /etc/ssl/certs) puis exécutez la commande "update-ca -ificates -f -v").

Sur CentOS et RHEL, vous pouvez ajouter le certificat "DST Root CA X3" à la liste noire.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.