אתמול אנו חולקים את החדשות כאן בבלוג על סיום תעודת IdenTrust (DST Root CA X3) המשמשת לחתימת תעודת Let's Encrypt CA גרמה לבעיות באימות תעודת Let's Encrypt בפרויקטים באמצעות גרסאות ישנות יותר של OpenSSL ו- GnuTLS.
הנושאים השפיעו גם על ספריית LibreSSL, שמפתחיו לא לקחו בחשבון ניסיון עבר הקשור לתקלות שהתרחשו לאחר שפג תוקף תעודת הבסיס של AddTrust של רשות האישורים Sectigo (Comodo).
וזה בגרסאות OpenSSL עד 1.0.2 וב- GnuTLS לפני 3.6.14 אירעה שגיאה שהוא לא איפשר עיבוד נכון של אישורים חתומים צולבים אם פג תוקף של אחת מתעודות הבסיס המשמשות לחתימה, גם אם נשמרו תעודות תקפות אחרות.
מהות הטעות היא שהגרסאות הקודמות של OpenSSL ו- GnuTLS ניתחו את התעודה כשרשרת לינארית, בעוד שעל פי RFC 4158, תעודה יכולה לייצג תרשים עוגה מבוזר מכוון עם עוגני אמון שונים שיש לקחת בחשבון.
בינתיים פרויקט OpenBSD פרסם בדחיפות תיקונים עבור הסניפים 6.8 ו- 6.9 כיום, שתוקן בעיות ב- LibreSSL עם אימות תעודה חתומה צולבת, פג תוקף אחת מתעודות הבסיס בשרשרת הנאמנות. כפתרון לבעיה, מומלץ ב / etc / installurl, לעבור מ- HTTPS ל- HTTP (הדבר אינו מאיים על האבטחה, שכן עדכונים מאומתים בנוסף על ידי חתימה דיגיטלית) או בחירת מראה חלופית (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).
גם ניתן להסיר את תעודת ה- Root CA X3 של תקופת הקיץ שתוקפה פג מהקובץ /etc/ssl/cert.pem, וכלי השירות syspatch המשמש להתקנת עדכוני מערכת בינארית הפסיק לפעול על OpenBSD.
בעיות דומות ל- DragonFly BSD מתרחשות בעת עבודה עם DPorts. בעת הפעלת מנהל החבילות pkg, נוצרת שגיאת אימות אישור. התיקון נוסף היום לסניפי האב, DragonFly_RELEASE_6_0 ו- DragonFly_RELEASE_5_8. כפתרון לעקיפת הבעיה, תוכל להסיר את תעודת DST Root CA X3.
כמה מהכשלים שהתרחשו לאחר ביטול תעודת IdenTrust היו:
- תהליך אימות התעודה של Let's Encrypt הופסק ביישומים המבוססים על פלטפורמת האלקטרונים. בעיה זו תוקנה בעדכונים 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- חלק מההפצות מתקשות בגישה למאגרי חבילות בעת שימוש במנהל החבילות APT המצורף לגרסאות ישנות יותר של ספריית GnuTLS.
- Debian 9 הושפע מחבילת GnuTLS שלא תוקנה, וגרמה לבעיות בגישה ל- deb.debian.org למשתמשים שלא התקינו עדכונים בזמן (תיקון gnutls28-3.5.8-5 + deb9u6 הוצע ב -17 בספטמבר).
- לקוח ה- acme נשבר ב- OPNsense, הבעיה דווחה מבעוד מועד, אך המפתחים לא הצליחו לשחרר את התיקון בזמן.
- הבעיה השפיעה על חבילת OpenSSL 1.0.2k ב- RHEL / CentOS 7, אך לפני שבוע עבור RHEL 7 ו- CentOS 7, נוצר עדכון לחבילת ca-certificate-2021.2.50-72.el7_9.noarch, שממנה נוצר אישור IdenTrust נמחק, כלומר ביטוי הבעיה נחסם לפני כן.
- מכיוון שהעדכונים פורסמו מוקדם, הבעיה באימות תעודת Let's Encrypt השפיעה רק על משתמשים בסניפי RHEL / CentOS והאובונטו הישנים, שאינם מתקינים עדכונים באופן קבוע.
- תהליך אימות האישור ב- grpc נשבר.
- יצירת פלטפורמת דף Cloudflare נכשלה.
- בעיות Amazon Web Services (AWS).
- משתמשי DigitalOcean מתקשים להתחבר למסד הנתונים.
- כשל פלטפורמת הענן של Netlify.
- בעיות בגישה לשירותי Xero.
- ניסיון ליצור חיבור TLS עם ממשק ה- MailGun Web API נכשל.
- באגים בגרסאות macOS ו- iOS (11, 13, 14), שמבחינה תיאורטית לא היו צריכים להיות מושפעים מהבעיה.
- כישלון שירותי Catchpoint.
- בדיקת האישורים נכשלה בעת גישה ל- PostMan API.
- חומת האש של הגרדיאן התרסקה.
- הפרעה בדף התמיכה של monday.com.
- התרסקות בפלטפורמת סרב.
- לא ניתן לאמת את זמן הפעילות במעקב אחר ענן Google.
- בעיה באימות אישור ב- Cisco Umbrella Secure Web Gateway.
- בעיות בחיבור לפרוקסי Bluecoat ו- Palo Alto.
- OVHcloud מתקשה להתחבר ל- API של OpenStack.
- בעיות בהפקת דוחות ב- Shopify.
- יש בעיות בגישה ל- Heroku API.
- התרסקות ב- Ledger Live Manager.
- שגיאת אימות תעודה בכלים לפיתוח אפליקציות של פייסבוק.
- בעיות ב- Sophos SG UTM.
- בעיות באימות אישור ב- cPanel.
כפתרון חלופי, מוצע למחוק את התעודה «DST Root CA X3» ממאגר המערכת (/etc/ca-certificates.conf ו / etc / ssl / certs) ולאחר מכן הפעל את הפקודה "update -ca -ificates -f -v").
ב- CentOS ו- RHEL, תוכל להוסיף את תעודת "DST Root CA X3" לרשימה השחורה.