Jučer vijesti dijelimo ovdje na blogu o prestanku važenja certifikata IdenTrust (DST Root CA X3) koji se koristi za potpisivanje Let's Encrypt CA certifikata izazvao je probleme s provjerom valjanosti certifikata Let's Encrypt u projektima koji koriste starije verzije OpenSSL -a i GnuTLS -a.
Problemi su utjecali i na knjižnicu LibreSSL, čiji programeri nisu uzeli u obzir prošlo iskustvo u vezi s padovima koji su se dogodili nakon isteka korijenskog certifikata AddTrust ovlaštenja certifikata Sectigo (Comodo).
I to je u verzijama OpenSSL -a do 1.0.2 uključujući i u GnuTLS -u prije 3.6.14 došlo je do pogreške da nije dopuštala ispravnu obradu križno potpisanih certifikata ako je jedan od korijenskih certifikata koji su korišteni za potpisivanje istekao, čak i ako su ostali valjani.
Bit pogreške je u tome što su prethodne verzije OpenSSL -a i GnuTLS -a raščlanile certifikat kao linearni lanac, dok prema RFC 4158 certifikat može predstavljati usmjereni distribuirani tortni grafikon s različitim sidrima povjerenja koja se moraju uzeti u obzir.
U međuvremenu projekt OpenBSD hitno je danas izdao zakrpe za grane 6.8 i 6.9, koji rješavaju probleme u LibreSSL-u s unakrsnom provjerom certifikata, jedan od korijenskih certifikata u lancu povjerenja je istekao. Kao rješenje problema, preporučuje se u / etc / installurl prebaciti se s HTTPS -a na HTTP (to ne prijeti sigurnosti, jer se ažuriranja dodatno provjeravaju digitalnim potpisom) ili odabrati alternativno zrcalo (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).
također istekli DST Root CA X3 certifikat može se ukloniti iz /etc/ssl/cert.pem datoteke, a uslužni program syspatch koji se koristi za instaliranje binarnih ažuriranja sustava prestao je raditi na OpenBSD -u.
Slični DragonFly BSD problemi javljaju se pri radu s DPortsima. Prilikom pokretanja upravitelja paketa pkg generira se pogreška provjere valjanosti certifikata. Popravak je danas dodan glavnim granama, DragonFly_RELEASE_6_0 i DragonFly_RELEASE_5_8. Kao zaobilazno rješenje možete ukloniti DST Root CA X3 certifikat.
Neki od propusta koji su se dogodili nakon otkazivanja certifikata IdenTrust slijedeće:
- Postupak provjere Let's Encrypt certifikata prekinut je u aplikacijama temeljenim na platformi Electron. Ovaj je problem riješen u ažuriranjima 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Neke distribucije imaju problema s pristupom spremištu paketa kada koriste upravitelj paketa APT uključen u starije verzije knjižnice GnuTLS.
- Debian 9 bio je zahvaćen neispravljenim GnuTLS paketom, uzrokujući probleme u pristupu deb.debian.org korisnicima koji nisu instalirali ažuriranja na vrijeme (popraviti gnutls28-3.5.8-5 + deb9u6 predloženo je 17. rujna).
- Acme klijent pokvario je OPNsense, problem je prijavljen unaprijed, ali programeri nisu uspjeli objaviti zakrpu na vrijeme.
- Problem je utjecao na paket OpenSSL 1.0.2k na RHEL / CentOS 7, no prije tjedan dana za RHEL 7 i CentOS 7 generirano je ažuriranje paketa ca-certificate-2021.2.50-72.el7_9.noarch iz kojeg je Potvrda IdenTrust je izbrisana, odnosno prethodno je blokirana manifestacija problema.
- Budući da su ažuriranja objavljena ranije, problem s provjerom certifikata Let's Encrypt zahvatio je samo korisnike starih podružnica RHEL / CentOS i Ubuntu, koji ažuriranja ne instaliraju redovito.
- Postupak provjere certifikata u grpc -u je prekinut.
- Izrada Cloudflare platforme stranica nije uspjela.
- Problemi s Amazon web uslugama (AWS).
- Korisnici DigitalOceana imaju problema pri povezivanju s bazom podataka.
- Kvar Netlify cloud platforme.
- Problemi s pristupom uslugama Xero.
- Pokušaj uspostave TLS veze s MailGun web API -jem nije uspio.
- Greške u verzijama macOS i iOS (11, 13, 14), na koje teoretski problem nije trebao utjecati.
- Greška usluga Catchpoint.
- Provjera certifikata prilikom pristupa PostMan API -ju nije uspjela.
- Guardian Firewall se srušio.
- Prekid na stranici za podršku monday.com.
- Rušenje na platformi Cerb.
- Nije moguće provjeriti vrijeme neprekidnog rada u Google Cloud Monitoring -u.
- Problem s provjerom valjanosti certifikata na Cisco Umbrella Secure Web Gatewayu.
- Problemi pri povezivanju s proxyjima Bluecoat i Palo Alto.
- OVHcloud ima problema pri povezivanju s OpenStack API -jem.
- Problemi pri generiranju izvješća u Shopifyju.
- Postoje problemi s pristupom Heroku API -ju.
- Rušenje u Ledger Live Manageru.
- Pogreška provjere valjanosti certifikata u alatima za razvoj Facebook aplikacija.
- Problemi u Sophos SG UTM.
- Problemi s provjerom certifikata u cPanelu.
Kao alternativno rješenje, predlaže se brisanje certifikata «DST Root CA X3» iz spremišta sustava (/etc/ca-certificates.conf i / etc / ssl / certs), a zatim pokrenite naredbu "update -ca -ificates -f -v").
Na CentOS -u i RHEL -u možete dodati certifikat "DST Root CA X3" na crnu listu.