DST રુટ CA X3 સર્ટિફિકેટ પૂર્ણ થતાં પેદા થયેલી સમસ્યાઓ પહેલાથી જ શરૂ થઈ ગઈ છે

Darkcrizt

4 મિનિટ

ગઈકાલે અમે અહીં સમાચાર બ્લોગ પર શેર કરીએ છીએ લેટ્સ એન્ક્રિપ્ટ CA સર્ટિફિકેટ પર સહી કરવા માટે ઉપયોગમાં લેવાતા IdenTrust પ્રમાણપત્ર (DST Root CA X3) ની સમાપ્તિ પર OpenSSL અને GnuTLS ના જૂના વર્ઝનનો ઉપયોગ કરીને પ્રોજેક્ટ્સમાં લેટ્સ એન્ક્રિપ્ટ સર્ટિફિકેટ માન્યતા સાથે સમસ્યા causedભી થઈ છે.

આ મુદ્દાઓએ LibreSSL પુસ્તકાલયને પણ અસર કરી, જેમના ડેવલપર્સે સેક્ટીગો (કોમોડો) સર્ટિફિકેટ ઓથોરિટીના એડટ્રસ્ટ રુટ સર્ટિફિકેટની સમયસીમા સમાપ્ત થયા બાદ થયેલા ક્રેશને લગતા ભૂતકાળના અનુભવને ધ્યાનમાં લીધો ન હતો.

અને તે છે ઓપનએસએસએલ આવૃત્તિઓમાં 1.0.2 સુધી અને સહિત અને GnuTLS માં 3.6.14 પહેલા, એક ભૂલ આવી કે જો તે હસ્તાક્ષર કરવા માટે વપરાતા રૂટ પ્રમાણપત્રોમાંથી એકની સમયસીમા સમાપ્ત થઈ ગઈ હોય, તો અન્ય માન્ય પ્રમાણપત્રો રાખવામાં આવે તો પણ તે ક્રોસ-સહી કરેલા પ્રમાણપત્રોની સાચી પ્રક્રિયાને મંજૂરી આપતું નથી.

 ભૂલનો સાર એ છે કે OpenSSL અને GnuTLS ના અગાઉના સંસ્કરણોએ રેખીય સાંકળ તરીકે પ્રમાણપત્રનું વિશ્લેષણ કર્યું, જ્યારે આરએફસી 4158 મુજબ, પ્રમાણપત્ર વિવિધ ટ્રસ્ટ એન્કર સાથે નિર્દેશિત વિતરણ પાઇ ચાર્ટનું પ્રતિનિધિત્વ કરી શકે છે જેને ધ્યાનમાં લેવું આવશ્યક છે.

તેના ભાગ માટે ઓપનબીએસડી પ્રોજેક્ટ તાત્કાલિક 6.8 અને 6.9 શાખાઓ માટે પેચ બહાર પાડે છે, જે LibreSSL માં ક્રોસ-સહી કરેલા પ્રમાણપત્રની ચકાસણી સાથે સમસ્યાઓનું નિરાકરણ કરે છે, ટ્રસ્ટ સાંકળમાંના એક મૂળ પ્રમાણપત્રની સમયસીમા સમાપ્ત થઈ ગઈ છે. સમસ્યાના સમાધાન તરીકે, તેને / etc / installurl માં ભલામણ કરવામાં આવે છે, HTTPS થી HTTP પર સ્વિચ કરો (આ સુરક્ષાને ધમકી આપતું નથી, કારણ કે અપડેટ્સ ડિજિટલ સહી દ્વારા ચકાસવામાં આવે છે) અથવા વૈકલ્પિક અરીસો પસંદ કરો (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

પણ સમાપ્ત થયેલ DST રુટ CA X3 પ્રમાણપત્ર દૂર કરી શકાય છે /etc/ssl/cert.pem ફાઇલમાંથી, અને બાઈનરી સિસ્ટમ અપડેટ્સ ઇન્સ્ટોલ કરવા માટે વપરાતી syspatch ઉપયોગિતાએ OpenBSD પર કામ કરવાનું બંધ કરી દીધું છે.

DPorts સાથે કામ કરતી વખતે સમાન DragonFly BSD સમસ્યાઓ થાય છે. Pkg પેકેજ મેનેજર શરૂ કરતી વખતે, પ્રમાણપત્ર માન્યતા ભૂલ પેદા થાય છે. માસ્ટર શાખાઓ, DragonFly_RELEASE_6_0 અને DragonFly_RELEASE_5_8 માં આજે સુધારો ઉમેરવામાં આવ્યો છે. નિવારણ તરીકે, તમે DST રુટ CA X3 પ્રમાણપત્રને દૂર કરી શકો છો.

જે કેટલીક નિષ્ફળતાઓ આવી IdenTrust પ્રમાણપત્ર રદ થયા બાદ નીચે મુજબ હતા:

  • લેટ્સ એન્ક્રિપ્ટ સર્ટિફિકેટ વેરિફિકેશન પ્રક્રિયા ઇલેક્ટ્રોન પ્લેટફોર્મ પર આધારિત એપ્લિકેશન્સમાં વિક્ષેપિત થઈ છે. આ સમસ્યા સુધારાઓ 12.2.1, 13.5.1, 14.1.0, 15.1.0 માં સુધારાઈ હતી.
  • GnuTLS લાઇબ્રેરીના જૂના સંસ્કરણો સાથે સમાવિષ્ટ APT પેકેજ મેનેજરનો ઉપયોગ કરતી વખતે કેટલાક વિતરણોને પેકેજ રિપોઝીટરીઝ troubleક્સેસ કરવામાં મુશ્કેલી પડે છે.
  • ડેબિયન 9 અનપેચ કરેલ GnuTLS પેકેજથી પ્રભાવિત થયું હતું, જે વપરાશકર્તાઓ માટે deb.debian.org ને problemsક્સેસ કરવામાં સમસ્યા causingભી કરે છે જેમણે સમયસર અપડેટ્સ ઇન્સ્ટોલ કર્યું નથી (gnutls28-3.5.8-5 + deb9u6 ને 17 સપ્ટેમ્બરના રોજ પ્રસ્તાવિત કરવામાં આવ્યું હતું).
  • તીવ્ર ક્લાયન્ટ ઓપીએનસેન્સ પર તૂટી પડ્યો, આ મુદ્દો સમય પહેલા જાણ કરવામાં આવ્યો હતો, પરંતુ વિકાસકર્તાઓ સમયસર પેચ રજૂ કરવામાં નિષ્ફળ ગયા.
  • આ સમસ્યાએ RHEL / CentOS 1.0.2 પર OpenSSL 7k પેકેજને અસર કરી હતી, પરંતુ RHEL 7 અને CentOS 7 માટે એક અઠવાડિયા પહેલા, ca-certificate-2021.2.50-72.el7_9.noarch પેકેજનું અપડેટ જનરેટ થયું હતું, જેમાંથી IdenTrust પ્રમાણપત્ર કા deletedી નાખવામાં આવ્યું હતું, એટલે કે, સમસ્યાનું અભિવ્યક્તિ અગાઉથી અવરોધિત હતું.
  • અપડેટ્સ વહેલા બહાર પાડવામાં આવ્યા હોવાથી, લેટ્સ એન્ક્રિપ્ટ સર્ટિફિકેટ વેરિફિકેશનની સમસ્યા માત્ર જૂની RHEL / CentOS અને ઉબુન્ટુ શાખાઓના વપરાશકર્તાઓને અસર કરે છે, જે નિયમિતપણે અપડેટ્સ ઇન્સ્ટોલ કરતા નથી.
  • Grpc માં પ્રમાણપત્ર ચકાસણી પ્રક્રિયા તૂટી ગઈ છે.
  • Cloudflare પેજ પ્લેટફોર્મ બનાવવામાં નિષ્ફળ.
  • એમેઝોન વેબ સેવાઓ (AWS) ની સમસ્યાઓ.
  • DigitalOcean વપરાશકર્તાઓને ડેટાબેઝ સાથે જોડવામાં મુશ્કેલી આવી રહી છે.
  • નેટલાઇફ ક્લાઉડ પ્લેટફોર્મ નિષ્ફળતા.
  • Xero સેવાઓનો ઉપયોગ કરવામાં સમસ્યાઓ.
  • MailGun વેબ API સાથે TLS કનેક્શન સ્થાપિત કરવાનો પ્રયાસ નિષ્ફળ ગયો.
  • MacOS અને iOS સંસ્કરણો (11, 13, 14) માં બગ્સ, જે સૈદ્ધાંતિક રીતે સમસ્યાથી પ્રભાવિત ન હોવા જોઈએ.
  • કેચપોઇન્ટ સેવાઓ નિષ્ફળતા.
  • પોસ્ટમેન API ingક્સેસ કરતી વખતે પ્રમાણપત્રો તપાસવામાં નિષ્ફળ.
  • ગાર્ડિયન ફાયરવોલ ક્રેશ થયું.
  • Monday.com સપોર્ટ પેજ પર વિક્ષેપ.
  • સર્બ પ્લેટફોર્મ પર ક્રેશ.
  • ગૂગલ ક્લાઉડ મોનિટરિંગમાં અપટાઇમ ચકાસવામાં અસમર્થ.
  • સિસ્કો છત્રી સુરક્ષિત વેબ ગેટવે પર પ્રમાણપત્ર માન્યતા સાથે સમસ્યા.
  • બ્લૂકોટ અને પાલો અલ્ટો પ્રોક્સી સાથે જોડવામાં સમસ્યાઓ.
  • OVHcloud ને OpenStack API થી કનેક્ટ કરવામાં મુશ્કેલી આવી રહી છે.
  • Shopify માં રિપોર્ટ જનરેટ કરવામાં સમસ્યાઓ.
  • હીરોકુ API ને accessક્સેસ કરવામાં સમસ્યાઓ છે.
  • લેજર લાઇવ મેનેજરમાં ક્રેશ.
  • ફેસબુક એપ્લિકેશન વિકાસ સાધનોમાં પ્રમાણપત્ર માન્યતા ભૂલ.
  • Sophos SG UTM માં સમસ્યાઓ.
  • CPanel માં પ્રમાણપત્ર ચકાસણી સાથે સમસ્યાઓ.

વૈકલ્પિક ઉકેલ તરીકે, «DST Root CA X3 certificate પ્રમાણપત્ર કા deleteી નાખવાનો પ્રસ્તાવ છે સિસ્ટમ સ્ટોર (/etc/ca-certificates.conf અને / etc / ssl / certs) થી અને પછી "update -ca -ificates -f -v" આદેશ ચલાવો).

CentOS અને RHEL પર, તમે "DST Root CA X3" પ્રમાણપત્રને બ્લેકલિસ્ટમાં ઉમેરી શકો છો.


તમારી ટિપ્પણી મૂકો

તમારું ઇમેઇલ સરનામું પ્રકાશિત કરવામાં આવશે નહીં. આવશ્યક ક્ષેત્રો સાથે ચિહ્નિત થયેલ છે *

*

*

  1. ડેટા માટે જવાબદાર: AB ઈન્ટરનેટ નેટવર્ક્સ 2008 SL
  2. ડેટાનો હેતુ: નિયંત્રણ સ્પામ, ટિપ્પણી સંચાલન.
  3. કાયદો: તમારી સંમતિ
  4. ડેટાની વાતચીત: કાયદાકીય જવાબદારી સિવાય ડેટા તૃતીય પક્ષને આપવામાં આવશે નહીં.
  5. ડેટા સ્ટોરેજ: cસેન્ટસ નેટવર્ક્સ (ઇયુ) દ્વારા હોસ્ટ કરેલો ડેટાબેઝ
  6. અધિકાર: કોઈપણ સમયે તમે તમારી માહિતીને મર્યાદિત, પુન recoverપ્રાપ્ત અને કા deleteી શકો છો.