Masalah yang dihasilkan oleh penyelesaian sertifikat DST Root CA X3 sudah dimulai

Darkcrizt

4 menit

Kemarin kami berbagi berita di sini di blog pada penghentian sertifikat IdenTrust (DST Root CA X3) yang digunakan untuk menandatangani sertifikat Let's Encrypt CA telah menyebabkan masalah dengan validasi sertifikat Let's Encrypt dalam proyek yang menggunakan versi OpenSSL dan GnuTLS yang lebih lama.

Masalah juga memengaruhi perpustakaan LibreSSL, yang pengembangnya tidak memperhitungkan pengalaman masa lalu yang terkait dengan kerusakan yang terjadi setelah sertifikat root AddTrust dari otoritas sertifikat Sectigo (Comodo) kedaluwarsa.

Dan apakah itu di versi OpenSSL hingga dan termasuk 1.0.2 dan di GnuTLS sebelum 3.6.14, terjadi kesalahan yang tidak mengizinkan pemrosesan yang benar dari sertifikat yang ditandatangani silang jika salah satu sertifikat root yang digunakan untuk penandatanganan kedaluwarsa, bahkan jika sertifikat valid lainnya disimpan.

 Inti dari kesalahan ini adalah bahwa versi OpenSSL dan GnuTLS sebelumnya menguraikan sertifikat sebagai rantai linier, sedangkan menurut RFC 4158, sertifikat dapat mewakili diagram lingkaran terdistribusi terarah dengan berbagai jangkar kepercayaan yang harus diperhitungkan.

Sementara itu proyek OpenBSD segera merilis patch untuk cabang 6.8 dan 6.9 hari ini, yang memperbaiki masalah di LibreSSL dengan verifikasi sertifikat yang ditandatangani silang, salah satu sertifikat root dalam rantai kepercayaan telah kedaluwarsa. Sebagai solusi untuk masalah tersebut, disarankan di /etc/installurl, ubah dari HTTPS ke HTTP (ini tidak mengancam keamanan, karena pembaruan juga diverifikasi oleh tanda tangan digital) atau pilih mirror alternatif (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

juga sertifikat DST Root CA X3 yang kedaluwarsa dapat dihapus dari file /etc/ssl/cert.pem, dan utilitas syspatch yang digunakan untuk menginstal pembaruan sistem biner telah berhenti bekerja di OpenBSD.

Masalah serupa DragonFly BSD terjadi saat bekerja dengan DPorts. Saat memulai manajer paket pkg, kesalahan validasi sertifikat dibuat. Perbaikan telah ditambahkan ke cabang master, DragonFly_RELEASE_6_0 dan DragonFly_RELEASE_5_8 hari ini. Sebagai solusinya, Anda dapat menghapus sertifikat DST Root CA X3.

Beberapa kegagalan yang terjadi setelah sertifikat IdenTrust dibatalkan adalah sebagai berikut:

  • Proses verifikasi sertifikat Let's Encrypt telah terganggu dalam aplikasi berbasis platform Electron. Masalah ini telah diperbaiki dalam pembaruan 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Beberapa distribusi mengalami kesulitan mengakses repositori paket saat menggunakan manajer paket APT yang disertakan dengan pustaka GnuTLS versi lama.
  • Debian 9 terpengaruh oleh paket GnuTLS yang tidak ditambal, menyebabkan masalah dalam mengakses deb.debian.org bagi pengguna yang tidak menginstal pembaruan tepat waktu (perbaikan gnutls28-3.5.8-5 + deb9u6 diusulkan pada 17 September).
  • Klien acme rusak di OPNsense, masalah ini dilaporkan sebelumnya, tetapi pengembang gagal merilis tambalan tepat waktu.
  • Masalah ini memengaruhi paket OpenSSL 1.0.2k pada RHEL / CentOS 7, tetapi seminggu yang lalu untuk RHEL 7 dan CentOS 7, pembaruan untuk paket ca-certificate-2021.2.50-72.el7_9.noarch dihasilkan, dari mana The Sertifikat IdenTrust telah dihapus, yaitu, manifestasi masalah diblokir sebelumnya.
  • Karena pembaruan dirilis sebelumnya, masalah dengan verifikasi sertifikat Let's Encrypt hanya memengaruhi pengguna cabang RHEL / CentOS dan Ubuntu lama, yang tidak menginstal pembaruan secara teratur.
  • Proses verifikasi sertifikat di grpc rusak.
  • Gagal membuat platform halaman Cloudflare.
  • Masalah Amazon Web Services (AWS).
  • Pengguna DigitalOcean mengalami masalah saat menyambung ke database.
  • Kegagalan platform cloud Netlify.
  • Masalah mengakses layanan Xero.
  • Upaya untuk membuat koneksi TLS dengan API web MailGun gagal.
  • Bug di versi macOS dan iOS (11, 13, 14), yang secara teoritis seharusnya tidak terpengaruh oleh masalah.
  • Kegagalan layanan titik tangkap.
  • Gagal memeriksa sertifikat saat mengakses PostMan API.
  • Firewall Penjaga rusak.
  • Gangguan pada halaman dukungan monday.com.
  • Kecelakaan di platform Cerb.
  • Tidak dapat memverifikasi waktu aktif di Google Cloud Monitoring.
  • Masalah dengan validasi sertifikat pada Cisco Umbrella Secure Web Gateway.
  • Masalah koneksi ke proxy Bluecoat dan Palo Alto.
  • OVHcloud mengalami masalah saat menyambung ke OpenStack API.
  • Masalah menghasilkan laporan di Shopify.
  • Ada masalah saat mengakses API Heroku.
  • Kecelakaan di Ledger Live Manager.
  • Kesalahan validasi sertifikat di alat pengembangan aplikasi Facebook.
  • Masalah di Sophos SG UTM.
  • Masalah dengan verifikasi sertifikat di cPanel.

Sebagai solusi alternatif, diusulkan untuk menghapus sertifikat «DST Root CA X3» dari system store (/etc/ca-certificates.conf dan /etc/ssl/certs) lalu jalankan perintah "update-ca -ificates -f -v").

Pada CentOS dan RHEL, Anda dapat menambahkan sertifikat "DST Root CA X3" ke daftar hitam.


tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Bertanggung jawab atas data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.