De problemen die zijn gegenereerd door de voltooiing van het DST Root CA X3-certificaat zijn al begonnen

Darkcrizt

4 minuten

gisteren we delen het nieuws hier op de blog bij de beëindiging van het IdenTrust-certificaat (DST Root CA X3) dat is gebruikt om het Let's Encrypt CA-certificaat te ondertekenen, heeft dit problemen veroorzaakt met de Let's Encrypt-certificaatvalidatie in projecten die oudere versies van OpenSSL en GnuTLS gebruiken.

De problemen hadden ook invloed op de LibreSSL-bibliotheek, waarvan de ontwikkelaars geen rekening hielden met eerdere ervaringen met crashes die plaatsvonden nadat het AddTrust-rootcertificaat van de Sectigo (Comodo)-certificeringsinstantie was verlopen.

En in OpenSSL-versies tot en met 1.0.2 en in GnuTLS vóór 3.6.14 is een fout opgetreden dat het de juiste verwerking van kruiselings ondertekende certificaten niet toestond als een van de basiscertificaten die voor ondertekening werden gebruikt, verlopen was, zelfs als andere geldige certificaten werden bewaard.

 De essentie van de fout is dat de vorige versies van OpenSSL en GnuTLS het certificaat als een lineaire keten ontleden, terwijl volgens RFC 4158 een certificaat een gericht gedistribueerd cirkeldiagram kan vertegenwoordigen met verschillende vertrouwensankers waarmee rekening moet worden gehouden.

Ondertussen het OpenBSD-project heeft vandaag met spoed patches uitgebracht voor de 6.8 en 6.9 branches, die problemen in LibreSSL met kruiselings ondertekende certificaatverificatie oplost, is een van de basiscertificaten in de vertrouwensketen verlopen. Als oplossing voor het probleem wordt aanbevolen in / etc / installurl over te schakelen van HTTPS naar HTTP (dit vormt geen bedreiging voor de veiligheid, omdat updates bovendien worden geverifieerd door digitale handtekening) of selecteer een alternatieve spiegelserver (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

ook verlopen DST Root CA X3-certificaat kan worden verwijderd uit het bestand /etc/ssl/cert.pem, en het syspatch-hulpprogramma dat wordt gebruikt om binaire systeemupdates te installeren, werkt niet meer op OpenBSD.

Soortgelijke problemen met DragonFly BSD treden op bij het werken met DPorts. Bij het starten van de pakketbeheerder pkg wordt een certificaatvalidatiefout gegenereerd. De fix is ​​vandaag toegevoegd aan de master branches, DragonFly_RELEASE_6_0 en DragonFly_RELEASE_5_8. Als tijdelijke oplossing kunt u het DST Root CA X3-certificaat verwijderen.

Enkele van de fouten die zijn opgetreden nadat het IdenTrust-certificaat was geannuleerd waren de volgende:

  • Het certificaatverificatieproces van Let's Encrypt is onderbroken in applicaties op basis van het Electron-platform. Dit probleem is opgelost in updates 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Sommige distributies hebben moeite om toegang te krijgen tot pakketrepository's bij gebruik van de APT-pakketbeheerder die bij oudere versies van de GnuTLS-bibliotheek is geleverd.
  • Debian 9 werd beïnvloed door het niet-gepatchte GnuTLS-pakket, wat problemen veroorzaakte bij het openen van deb.debian.org voor gebruikers die de updates niet op tijd installeerden (fix gnutls28-3.5.8-5 + deb9u6 werd voorgesteld op 17 september).
  • De acme-client brak op OPNsense, het probleem werd van tevoren gemeld, maar de ontwikkelaars konden de patch niet op tijd vrijgeven.
  • Het probleem had betrekking op het OpenSSL 1.0.2k-pakket op RHEL / CentOS 7, maar een week geleden voor RHEL 7 en CentOS 7 werd een update van het ca-certificate-2021.2.50-72.el7_9.noarch-pakket gegenereerd, waaruit The IdenTrust-certificaat is verwijderd, dat wil zeggen dat de manifestatie van het probleem vooraf was geblokkeerd.
  • Omdat de updates vroegtijdig werden uitgebracht, had het probleem met de certificaatverificatie Let's Encrypt alleen gevolgen voor gebruikers van de oude RHEL / CentOS- en Ubuntu-filialen, die niet regelmatig updates installeren.
  • Het certificaatverificatieproces in grpc is verbroken.
  • Kan Cloudflare-paginaplatform niet maken.
  • Problemen met Amazon Web Services (AWS).
  • DigitalOcean-gebruikers hebben problemen om verbinding te maken met de database.
  • Netlify-cloudplatformfout.
  • Problemen met toegang tot Xero-services.
  • Een poging om een ​​TLS-verbinding tot stand te brengen met de MailGun Web API is mislukt.
  • Bugs in macOS- en iOS-versies (11, 13, 14), die in theorie niet door het probleem zouden moeten worden beïnvloed.
  • Storing van Catchpoint-services.
  • Kan certificaten niet controleren bij toegang tot PostMan API.
  • De Guardian Firewall is gecrasht.
  • Storing op de ondersteuningspagina van monday.com.
  • Crash op het Cerb-platform.
  • Kan uptime niet verifiëren in Google Cloud Monitoring.
  • Probleem met certificaatvalidatie op Cisco Umbrella Secure Web Gateway.
  • Problemen bij het verbinden met de proxy's van Bluecoat en Palo Alto.
  • OVHcloud heeft problemen met het verbinden met de OpenStack API.
  • Problemen met het genereren van rapporten in Shopify.
  • Er zijn problemen met de toegang tot de Heroku-API.
  • Crash in Ledger Live Manager.
  • Certificaatvalidatiefout in ontwikkelingstools voor Facebook-applicaties.
  • Problemen in Sophos SG UTM.
  • Problemen met certificaatverificatie in cPanel.

Als alternatieve oplossing wordt voorgesteld om het certificaat «DST Root CA X3» te verwijderen vanuit de systeemopslag (/etc/ca-certificates.conf en / etc / ssl / certs) en voer vervolgens het commando "update-ca -ificates -f -v" uit.

Op CentOS en RHEL kunt u het "DST Root CA X3"-certificaat aan de zwarte lijst toevoegen.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.