Masalah yang timbul dengan penyiapan sijil DST Root CA X3 sudah bermula

Darkcrizt

Minit 4

Semalam kami berkongsi berita di sini di blog pada penamatan sijil IdenTrust (DST Root CA X3) yang digunakan untuk menandatangani sijil Let's Encrypt CA telah menyebabkan masalah dengan pengesahan sijil Let's Encrypt dalam projek yang menggunakan OpenSSL dan GnuTLS versi lama.

Masalahnya juga mempengaruhi perpustakaan LibreSSL, yang pembangunnya tidak mengambil kira pengalaman masa lalu yang berkaitan dengan kemalangan yang berlaku setelah sijil root AddTrust dari sijil Sectigo (Comodo) tamat.

Dan ia dalam versi OpenSSL hingga dan termasuk 1.0.2 dan di GnuTLS sebelum 3.6.14, berlaku ralat bahawa ia tidak membenarkan pemprosesan sijil bertanda silang yang betul jika salah satu sijil akar yang digunakan untuk menandatangani tamat tempoh, walaupun yang sah yang lain disimpan.

 Inti ralat adalah bahawa versi sebelumnya OpenSSL dan GnuTLS menguraikan sijil sebagai rantai linear, sedangkan menurut RFC 4158, sijil dapat mewakili carta pai diedarkan yang diarahkan dengan pelbagai sauh kepercayaan yang mesti diambil kira.

Untuk bahagiannya projek OpenBSD dengan segera mengeluarkan patch untuk cawangan 6.8 dan 6.9 hari ini, yang menyelesaikan masalah di LibreSSL dengan pengesahan sijil bertanda silang, salah satu sijil akar dalam rantai amanah telah tamat. Sebagai penyelesaian untuk masalah ini, disarankan dalam / etc / installurl, beralih dari HTTPS ke HTTP (ini tidak mengancam keselamatan, kerana kemas kini disahkan dengan tanda tangan digital) atau pilih cermin alternatif (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

juga sijil DST Root CA X3 yang telah tamat tempoh boleh dikeluarkan dari fail /etc/ssl/cert.pem, dan utiliti syspatch yang digunakan untuk memasang kemas kini sistem binari telah berhenti berfungsi pada OpenBSD.

Masalah DragonFly BSD yang serupa berlaku semasa bekerja dengan DPorts. Semasa memulakan pengurus pkg pkg, ralat pengesahan sijil dihasilkan. Pembaikan telah ditambahkan ke cabang induk, DragonFly_RELEASE_6_0 dan DragonFly_RELEASE_5_8 hari ini. Sebagai penyelesaian, anda boleh membuang sijil DST Root CA X3.

Sebilangan kegagalan yang berlaku setelah sijil IdenTrust dibatalkan adalah seperti berikut:

  • Proses pengesahan sijil Let's Encrypt telah terganggu dalam aplikasi berdasarkan platform Electron. Masalah ini telah diperbaiki dalam kemas kini 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Beberapa pengedaran menghadapi masalah untuk mengakses repositori pakej ketika menggunakan pengurus pakej APT yang disertakan dengan versi perpustakaan GnuTLS yang lebih lama.
  • Debian 9 terjejas oleh pakej GnuTLS yang belum ditarik, menyebabkan masalah mengakses deb.debian.org untuk pengguna yang tidak memasang kemas kini dalam masa (perbaiki gnutls28-3.5.8-5 + deb9u6 dicadangkan pada 17 September).
  • Pelanggan acme melanggar OPNsense, masalahnya dilaporkan lebih awal, tetapi pembangun gagal melepaskan patch tepat pada waktunya.
  • Masalahnya mempengaruhi pakej OpenSSL 1.0.2k pada RHEL / CentOS 7, tetapi seminggu yang lalu untuk RHEL 7 dan CentOS 7, kemas kini pakej ca-sijil-2021.2.50-72.el7_9.noarch dihasilkan, dari mana The Sijil IdenTrust telah dihapus, iaitu, manifestasi masalah telah disekat sebelumnya.
  • Sejak kemas kini dikeluarkan lebih awal, masalah dengan pengesahan sijil Let's Encrypt hanya mempengaruhi pengguna cawangan RHEL / CentOS dan Ubuntu lama, yang tidak memasang kemas kini secara berkala.
  • Proses pengesahan sijil dalam grpc rosak.
  • Gagal membuat platform halaman Cloudflare.
  • Isu Perkhidmatan Web Amazon (AWS).
  • Pengguna DigitalOcean menghadapi masalah untuk menyambung ke pangkalan data.
  • Kegagalan platform cloud Netlify.
  • Masalah semasa mengakses perkhidmatan Xero.
  • Percubaan untuk mewujudkan sambungan TLS dengan MailGun Web API gagal.
  • Bug dalam versi macOS dan iOS (11, 13, 14), yang secara teorinya tidak seharusnya dipengaruhi oleh masalah tersebut.
  • Kegagalan perkhidmatan Catchpoint.
  • Gagal memeriksa sijil ketika mengakses PostMan API.
  • Firewall Guardian terhempas.
  • Gangguan pada halaman sokongan monday.com.
  • Crash pada platform Cerb.
  • Tidak dapat mengesahkan waktu operasi di Google Cloud Monitoring.
  • Masalah dengan pengesahan sijil di Cisco Umbrella Secure Web Gateway.
  • Masalah semasa menyambung ke proksi Bluecoat dan Palo Alto.
  • OVHcloud menghadapi masalah untuk menyambung ke OpenStack API.
  • Masalah menghasilkan laporan di Shopify.
  • Terdapat masalah semasa mengakses Heroku API.
  • Crash in Ledger Live Manager.
  • Kesalahan pengesahan sijil dalam alat pembangunan aplikasi Facebook.
  • Masalah di Sophos SG UTM.
  • Masalah dengan pengesahan sijil di cPanel.

Sebagai penyelesaian alternatif, dicadangkan untuk menghapus sijil «DST Root CA X3» dari stor sistem (/etc/ca-certificate.conf dan / etc / ssl / certs) dan kemudian jalankan arahan "update-ca -ificate -f -v").

Pada CentOS dan RHEL, anda boleh menambahkan sijil "DST Root CA X3" ke senarai hitam.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.