DST Root CA X3 sertifikāta pabeigšanas radītās problēmas jau ir sākušās

Darkcrizt

4 Minutos

Vakar mēs dalāmies ar jaunumiem šeit, emuārā par IdenTrust sertifikāta (DST Root CA X3) izbeigšanu, ko izmantoja, lai parakstītu sertifikātu Let's Encrypt CA, ir radījis problēmas ar sertifikātu Let's Encrypt validāciju projektos, kuros tiek izmantotas vecākas OpenSSL un GnuTLS versijas.

Problēmas skāra arī LibreSSL bibliotēku, kuru izstrādātāji neņēma vērā iepriekšējo pieredzi saistībā ar avārijām, kas radušās pēc Sectigo (Comodo) sertifikāta iestādes AddTrust saknes sertifikāta derīguma termiņa beigām.

Un tas OpenSSL versijās līdz 1.0.2 (ieskaitot) un GnuTLS pirms 3.6.14 radās kļūda ka tas neļāva pareizi apstrādāt savstarpēji parakstītus sertifikātus, ja vienam no parakstīšanai izmantotajiem saknes sertifikātiem ir beidzies derīguma termiņš, pat ja tiek glabāti citi derīgi sertifikāti.

 Kļūdas būtība ir tāda, ka iepriekšējās OpenSSL un GnuTLS versijas parsēja sertifikātu kā lineāru ķēdi, tā kā saskaņā ar RFC 4158 sertifikāts var būt vērsta izplatīta sektoru diagramma ar dažādiem uzticamības enkuriem, kas jāņem vērā.

Tikmēr OpenBSD projekts šodien steidzami izlaida ielāpus 6.8 un 6.9 filiālēm, kas novērš problēmas LibreSSL ar savstarpēji parakstītu sertifikātu verifikāciju, ir beidzies viens no uzticamības ķēdes saknes sertifikātiem. Kā problēmas risinājumu ieteicams failā / etc / installurl pārslēgties no HTTPS uz HTTP (tas neapdraud drošību, jo atjauninājumi tiek papildus pārbaudīti ar ciparparakstu) vai izvēlēties citu spoguli (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

arī beidzies DST Root CA X3 sertifikāta derīguma termiņš no /etc/ssl/cert.pem faila, un utilīta syspatch, ko izmanto bināro sistēmas atjauninājumu instalēšanai, pārstāj darboties OpenBSD.

Līdzīgas DragonFly BSD problēmas rodas, strādājot ar DPort. Palaižot pkg pakotņu pārvaldnieku, tiek ģenerēta sertifikāta validācijas kļūda. Labojums šodien ir pievienots galvenajām filiālēm DragonFly_RELEASE_6_0 un DragonFly_RELEASE_5_8. Kā risinājumu varat noņemt DST Root CA X3 sertifikātu.

Dažas neveiksmes, kas notika pēc IdenTrust sertifikāta anulēšanas bija šādi:

  • Šifrēsim sertifikāta verifikācijas procesu lietojumprogrammās, kuru pamatā ir platforma Electron. Šī problēma tika novērsta atjauninājumos 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Dažiem izplatītājiem ir grūtības piekļūt pakotņu krātuvēm, izmantojot APT pakotņu pārvaldnieku, kas iekļauts GnuTLS bibliotēkas vecākajās versijās.
  • Debian 9 ietekmēja neiepakotā GnuTLS pakotne, radot problēmas piekļūt deb.debian.org lietotājiem, kuri savlaicīgi neinstalēja atjauninājumus (28. septembrī tika ierosināts labot gnutls3.5.8-5-9 + deb6u17).
  • Acme klients sabojājās OPNsense, par šo problēmu tika ziņots pirms laika, taču izstrādātājiem neizdevās laicīgi izlaist plāksteri.
  • Problēma skāra OpenSSL 1.0.2k pakotni RHEL / CentOS 7, bet pirms nedēļas RHEL 7 un CentOS 7 tika atjaunināts pakotnes ca-certificate-2021.2.50-72.el7_9.noarch atjauninājums, no kura IdenTrust sertifikāts tika izdzēsts, tas ir, problēmas izpausme tika bloķēta iepriekš.
  • Tā kā atjauninājumi tika izlaisti agri, problēma ar Let's Encrypt sertifikātu verifikāciju skāra tikai veco RHEL / CentOS un Ubuntu filiāļu lietotājus, kuri regulāri neinstalē atjauninājumus.
  • Sertifikāta verifikācijas process grpc ir bojāts.
  • Neizdevās izveidot Cloudflare lapas platformu.
  • Amazon Web Services (AWS) problēmas.
  • DigitalOcean lietotājiem ir grūtības izveidot savienojumu ar datu bāzi.
  • Netlify mākoņa platformas kļūme.
  • Problēmas piekļūt Xero pakalpojumiem.
  • Mēģinājums izveidot TLS savienojumu ar MailGun Web API neizdevās.
  • Kļūdas MacOS un iOS versijās (11, 13, 14), kuras teorētiski nevajadzētu ietekmēt.
  • Catchpoint pakalpojumu kļūme.
  • Neizdevās pārbaudīt sertifikātus, piekļūstot PostMan API.
  • The Guardian ugunsmūris avarēja.
  • Traucējumi monday.com atbalsta lapā.
  • Avārija Cerb platformā.
  • Google mākoņa uzraudzībā nevar pārbaudīt darbības laiku.
  • Problēma ar sertifikāta validāciju vietnē Cisco Umbrella Secure Web Gateway.
  • Problēmas, veidojot savienojumu ar Bluecoat un Palo Alto starpniekserveriem.
  • OVHcloud neizdodas izveidot savienojumu ar OpenStack API.
  • Pārskatu ģenerēšanas problēmas pakalpojumā Shopify.
  • Piekļūstot Heroku API, rodas problēmas.
  • Avārija Ledger Live Manager.
  • Sertifikāta validācijas kļūda Facebook lietojumprogrammu izstrādes rīkos.
  • Problēmas Sophos SG UTM.
  • Problēmas ar sertifikāta verifikāciju cPanel.

Kā alternatīvs risinājums tiek piedāvāts dzēst sertifikātu «DST Root CA X3» no sistēmas veikala (/etc/ca-certificates.conf un / etc / ssl / certs) un pēc tam palaidiet komandu "update -ca -ificates -f -v").

CentOS un RHEL melnajam sarakstam varat pievienot sertifikātu "DST Root CA X3".


Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: AB Internet Networks 2008 SL
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.