DST 루트 CA X3 인증서 완료로 인해 발생하는 문제는 이미 시작되었습니다.

Darkcrizt

4 분

어제 우리는 여기 블로그에서 뉴스를 공유합니다 Let's Encrypt CA 인증서에 서명하는 데 사용된 IdenTrust 인증서(DST 루트 CA X3) 종료 시 이전 버전의 OpenSSL 및 GnuTLS를 사용하는 프로젝트에서 Let's Encrypt 인증서 유효성 검사에 문제가 발생했습니다.

이 문제는 LibreSSL 라이브러리에도 영향을 미쳤습니다. 개발자는 Sectigo(Comodo) 인증 기관의 AddTrust 루트 인증서가 만료된 후 발생한 충돌과 관련된 과거 경험을 고려하지 않았습니다.

그리고 1.0.2 이하의 OpenSSL 버전 및 3.6.14 이전의 GnuTLS에서 오류가 발생했습니다. 다른 유효한 인증서가 유지되더라도 서명에 사용된 루트 인증서 중 하나가 만료된 경우 교차 서명된 인증서의 올바른 처리를 허용하지 않습니다.

 오류의 본질은 이전 버전의 OpenSSL 및 GnuTLS가 인증서를 선형 체인으로 구문 분석했으며, RFC 4158에 따르면 인증서는 고려해야 하는 다양한 트러스트 앵커가 있는 방향성 분산 원형 차트를 나타낼 수 있습니다.

그 동안에 OpenBSD 프로젝트는 오늘 긴급하게 6.8 및 6.9 브랜치용 패치를 출시했습니다. 교차 서명된 인증서 확인을 사용하여 LibreSSL의 문제를 해결하는 트러스트 체인의 루트 인증서 중 하나가 만료되었습니다. 이 문제에 대한 해결책으로 /etc/installurl에서 HTTPS에서 HTTP로 전환하거나(디지털 서명으로 업데이트를 추가로 확인하므로 보안을 위협하지 않음) 대체 미러(ftp.usa.openbsd.org)를 선택하는 것이 좋습니다. , ftp.hostserver.de, cdn.openbsd .org).

또한 만료된 DST 루트 CA X3 인증서를 제거할 수 있습니다. /etc/ssl/cert.pem 파일과 바이너리 시스템 업데이트를 설치하는 데 사용되는 syspatch 유틸리티가 OpenBSD에서 작동을 멈췄습니다.

DPort로 작업할 때 유사한 DragonFly BSD 문제가 발생합니다. pkg 패키지 관리자를 시작할 때 인증서 유효성 검사 오류가 생성됩니다. 수정 사항이 오늘 마스터 브랜치 DragonFly_RELEASE_6_0 및 DragonFly_RELEASE_5_8에 추가되었습니다. 해결 방법으로 DST 루트 CA X3 인증서를 제거할 수 있습니다.

발생한 실패 중 일부 IdenTrust 인증서가 취소된 후 다음과 같은 상황이 발생했습니다.

  • Let's Encrypt 인증서 확인 프로세스가 Electron 플랫폼 기반 애플리케이션에서 중단되었습니다. 이 문제는 업데이트 12.2.1, 13.5.1, 14.1.0, 15.1.0에서 수정되었습니다.
  • 일부 배포판은 이전 버전의 GnuTLS 라이브러리에 포함된 APT 패키지 관리자를 사용할 때 패키지 저장소에 액세스하는 데 문제가 있습니다.
  • 데비안 9는 패치되지 않은 GnuTLS 패키지의 영향을 받아 제때 업데이트를 설치하지 않은 사용자가 deb.debian.org에 액세스하는 데 문제를 일으켰습니다(28월 3.5.8일에 gnutls5-9-6 + deb17uXNUMX 수정 제안).
  • acme 클라이언트는 OPNsense에서 중단되었고 문제는 미리 보고되었지만 개발자는 제때 패치를 릴리스하지 못했습니다.
  • 이 문제는 RHEL/CentOS 1.0.2의 OpenSSL 7k 패키지에 영향을 주었지만 RHEL 7 및 CentOS 7의 경우 일주일 전에 ca-certificate-2021.2.50-72.el7_9.noarch 패키지에 대한 업데이트가 생성되었습니다. IdenTrust 인증서가 삭제되었습니다. 즉, 문제의 징후가 미리 차단되었습니다.
  • 업데이트가 일찍 릴리스되었기 때문에 Let's Encrypt 인증서 확인 문제는 업데이트를 정기적으로 설치하지 않는 이전 RHEL/CentOS 및 Ubuntu 분기 사용자에게만 영향을 미쳤습니다.
  • grpc의 인증서 확인 프로세스가 손상되었습니다.
  • Cloudflare 페이지 플랫폼을 생성하지 못했습니다.
  • Amazon Web Services(AWS) 문제.
  • DigitalOcean 사용자가 데이터베이스에 연결하는 데 문제가 있습니다.
  • Netlify 클라우드 플랫폼 오류.
  • Xero 서비스에 액세스하는 데 문제가 있습니다.
  • MailGun Web API와 TLS 연결을 설정하려는 시도가 실패했습니다.
  • 이론적으로 문제의 영향을 받지 않아야 하는 macOS 및 iOS 버전(11, 13, 14)의 버그.
  • 캐치포인트 서비스 실패.
  • PostMan API에 액세스할 때 인증서를 확인하지 못했습니다.
  • 가디언 방화벽이 충돌했습니다.
  • monday.com 지원 페이지 중단.
  • Cerb 플랫폼에서 충돌이 발생했습니다.
  • Google Cloud Monitoring에서 가동시간을 확인할 수 없습니다.
  • Cisco Umbrella Secure Web Gateway의 인증서 유효성 검사 문제입니다.
  • Bluecoat 및 Palo Alto 프록시에 연결하는 데 문제가 있습니다.
  • OVHcloud에서 OpenStack API에 연결하는 데 문제가 있습니다.
  • Shopify에서 보고서 생성 문제.
  • Heroku API에 액세스하는 데 문제가 있습니다.
  • Ledger Live Manager에서 충돌이 발생합니다.
  • Facebook 애플리케이션 개발 도구의 인증서 유효성 검사 오류입니다.
  • Sophos SG UTM의 문제.
  • cPanel의 인증서 확인 문제.

대체 솔루션으로 «DST Root CA X3» 인증서를 삭제하는 것이 좋습니다. 시스템 저장소(/etc/ca-certificates.conf 및 /etc/ssl/certs)에서 "update-ca -ificates -f -v" 명령을 실행합니다.

CentOS 및 RHEL에서 "DST 루트 CA X3" 인증서를 블랙리스트에 추가할 수 있습니다.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자: AB Internet Networks 2008 SL
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.