Problemi nastali dovršetkom DST Root CA X3 certifikata već su započeli

Darkcrizt

4 minuta

Jučer vijesti dijelimo ovdje na blogu o prestanku važenja certifikata IdenTrust (DST Root CA X3) koji se koristi za potpisivanje Let's Encrypt CA certifikata izazvao je probleme s provjerom valjanosti certifikata Let's Encrypt u projektima koji koriste starije verzije OpenSSL -a i GnuTLS -a.

Problemi su utjecali i na knjižnicu LibreSSL, čiji programeri nisu uzeli u obzir prošlo iskustvo u vezi s padovima koji su se dogodili nakon isteka korijenskog certifikata AddTrust ovlaštenja certifikata Sectigo (Comodo).

I to je u verzijama OpenSSL -a do 1.0.2 uključujući i u GnuTLS -u prije 3.6.14 došlo je do pogreške da nije dopuštala ispravnu obradu križno potpisanih certifikata ako je jedan od korijenskih certifikata koji su korišteni za potpisivanje istekao, čak i ako su ostali valjani.

 Bit pogreške je u tome što su prethodne verzije OpenSSL -a i GnuTLS -a raščlanile certifikat kao linearni lanac, dok prema RFC 4158 certifikat može predstavljati usmjereni distribuirani tortni grafikon s različitim sidrima povjerenja koja se moraju uzeti u obzir.

U međuvremenu projekt OpenBSD hitno je danas izdao zakrpe za grane 6.8 i 6.9, koji rješavaju probleme u LibreSSL-u s unakrsnom provjerom certifikata, jedan od korijenskih certifikata u lancu povjerenja je istekao. Kao rješenje problema, preporučuje se u / etc / installurl prebaciti se s HTTPS -a na HTTP (to ne prijeti sigurnosti, jer se ažuriranja dodatno provjeravaju digitalnim potpisom) ili odabrati alternativno zrcalo (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

također istekli DST Root CA X3 certifikat može se ukloniti iz /etc/ssl/cert.pem datoteke, a uslužni program syspatch koji se koristi za instaliranje binarnih ažuriranja sustava prestao je raditi na OpenBSD -u.

Slični DragonFly BSD problemi javljaju se pri radu s DPortsima. Prilikom pokretanja upravitelja paketa pkg generira se pogreška provjere valjanosti certifikata. Popravak je danas dodan glavnim granama, DragonFly_RELEASE_6_0 i DragonFly_RELEASE_5_8. Kao zaobilazno rješenje možete ukloniti DST Root CA X3 certifikat.

Neki od propusta koji su se dogodili nakon otkazivanja certifikata IdenTrust slijedeće:

  • Postupak provjere Let's Encrypt certifikata prekinut je u aplikacijama temeljenim na platformi Electron. Ovaj je problem riješen u ažuriranjima 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Neke distribucije imaju problema s pristupom spremištu paketa kada koriste upravitelj paketa APT uključen u starije verzije knjižnice GnuTLS.
  • Debian 9 bio je zahvaćen neispravljenim GnuTLS paketom, uzrokujući probleme u pristupu deb.debian.org korisnicima koji nisu instalirali ažuriranja na vrijeme (popraviti gnutls28-3.5.8-5 + deb9u6 predloženo je 17. rujna).
  • Acme klijent pokvario je OPNsense, problem je prijavljen unaprijed, ali programeri nisu uspjeli objaviti zakrpu na vrijeme.
  • Problem je utjecao na paket OpenSSL 1.0.2k na RHEL / CentOS 7, no prije tjedan dana za RHEL 7 i CentOS 7 generirano je ažuriranje paketa ca-certificate-2021.2.50-72.el7_9.noarch iz kojeg je Potvrda IdenTrust je izbrisana, odnosno prethodno je blokirana manifestacija problema.
  • Budući da su ažuriranja objavljena ranije, problem s provjerom certifikata Let's Encrypt zahvatio je samo korisnike starih podružnica RHEL / CentOS i Ubuntu, koji ažuriranja ne instaliraju redovito.
  • Postupak provjere certifikata u grpc -u je prekinut.
  • Izrada Cloudflare platforme stranica nije uspjela.
  • Problemi s Amazon web uslugama (AWS).
  • Korisnici DigitalOceana imaju problema pri povezivanju s bazom podataka.
  • Kvar Netlify cloud platforme.
  • Problemi s pristupom uslugama Xero.
  • Pokušaj uspostave TLS veze s MailGun web API -jem nije uspio.
  • Greške u verzijama macOS i iOS (11, 13, 14), na koje teoretski problem nije trebao utjecati.
  • Greška usluga Catchpoint.
  • Provjera certifikata prilikom pristupa PostMan API -ju nije uspjela.
  • Guardian Firewall se srušio.
  • Prekid na stranici za podršku monday.com.
  • Rušenje na platformi Cerb.
  • Nije moguće provjeriti vrijeme neprekidnog rada u Google Cloud Monitoring -u.
  • Problem s provjerom valjanosti certifikata na Cisco Umbrella Secure Web Gatewayu.
  • Problemi pri povezivanju s proxyjima Bluecoat i Palo Alto.
  • OVHcloud ima problema pri povezivanju s OpenStack API -jem.
  • Problemi pri generiranju izvješća u Shopifyju.
  • Postoje problemi s pristupom Heroku API -ju.
  • Rušenje u Ledger Live Manageru.
  • Pogreška provjere valjanosti certifikata u alatima za razvoj Facebook aplikacija.
  • Problemi u Sophos SG UTM.
  • Problemi s provjerom certifikata u cPanelu.

Kao alternativno rješenje, predlaže se brisanje certifikata «DST Root CA X3» iz spremišta sustava (/etc/ca-certificates.conf i / etc / ssl / certs), a zatim pokrenite naredbu "update -ca -ificates -f -v").

Na CentOS -u i RHEL -u možete dodati certifikat "DST Root CA X3" na crnu listu.


Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.