Problemene som oppstår ved fullføring av DST Root CA X3 -sertifikatet har allerede startet

Darkcrizt

4 minutter

I går vi deler nyhetene her på bloggen ved avslutning av IdenTrust -sertifikatet (DST Root CA X3) som ble brukt til å signere Let's Encrypt CA -sertifikatet, har forårsaket problemer med Let's Encrypt -sertifikatvalidering i prosjekter som bruker eldre versjoner av OpenSSL og GnuTLS.

Problemene påvirket også LibreSSL -biblioteket, hvis utviklere ikke tok hensyn til tidligere erfaringer knyttet til krasjer som skjedde etter at AddTrust -rotsertifikatet til Sectigo (Comodo) sertifikatmyndighet utløp.

Og det i OpenSSL -versjoner til og med 1.0.2 og i GnuTLS før 3.6.14, oppstod en feil at den ikke tillot riktig behandling av kryssignerte sertifikater hvis et av rotsertifikatene som ble brukt for signering utløp, selv om andre gyldige ble beholdt.

 Essensen i feilen er at de tidligere versjonene av OpenSSL og GnuTLS analyserte sertifikatet som en lineær kjede, mens i henhold til RFC 4158, kan et sertifikat representere et rettet distribuert kakediagram med forskjellige tillitsankre som må tas i betraktning.

Mellomtiden OpenBSD -prosjektet ga raskt ut oppdateringer for 6.8 og 6.9 filialer i dag, som løser problemer i LibreSSL med kryssignert sertifikatverifisering, har et av rotsertifikatene i tillitskjeden utløpt. Som en løsning på problemet anbefales det i / etc / installurl, bytte fra HTTPS til HTTP (dette truer ikke sikkerheten, siden oppdateringer i tillegg bekreftes med digital signatur) eller velg et annet speil (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

Også utløpt DST Root CA X3 -sertifikat kan fjernes fra /etc/ssl/cert.pem -filen, og syspatch -verktøyet som ble brukt til å installere binære systemoppdateringer, har sluttet å fungere på OpenBSD.

Lignende DragonFly BSD -problemer oppstår når du arbeider med DPorts. Når du starter pakkebehandleren pkg, genereres en sertifikatvalideringsfeil. Rettelsen er lagt til hovedgrenene DragonFly_RELEASE_6_0 og DragonFly_RELEASE_5_8 i dag. Som en løsning kan du fjerne DST Root CA X3 -sertifikatet.

Noen av feilene som skjedde etter at IdenTrust -sertifikatet ble kansellert var følgende:

  • La oss kryptere sertifikatverifiseringsprosessen har blitt avbrutt i applikasjoner basert på Electron -plattformen. Dette problemet ble løst i oppdateringene 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Noen distribusjoner har problemer med å få tilgang til pakkelagre når de bruker APT -pakkebehandleren som følger med eldre versjoner av GnuTLS -biblioteket.
  • Debian 9 ble påvirket av den upatchede GnuTLS-pakken, noe som forårsaket problemer med tilgang til deb.debian.org for brukere som ikke installerte oppdateringer i tide (fikse gnutls28-3.5.8-5 + deb9u6 ble foreslått 17. september).
  • Acme -klienten brøt på OPNsense, problemet ble rapportert på forhånd, men utviklerne klarte ikke å frigjøre oppdateringen i tide.
  • Problemet påvirket OpenSSL 1.0.2k-pakken på RHEL / CentOS 7, men for en uke siden for RHEL 7 og CentOS 7 ble en oppdatering av ca-sertifikatet-2021.2.50-72.el7_9.noarch-pakken generert, som The IdenTrust -sertifikatet ble slettet, det vil si at manifestasjonen av problemet ble blokkert på forhånd.
  • Siden oppdateringene ble utgitt tidlig, påvirket problemet med Let's Encrypt -sertifikatverifisering bare brukere av de gamle RHEL / CentOS- og Ubuntu -filialene, som ikke installerer oppdateringer regelmessig.
  • Sertifikatverifiseringsprosessen i grpc er ødelagt.
  • Kunne ikke opprette Cloudflare -sideplattform.
  • Problemer med Amazon Web Services (AWS).
  • DigitalOcean -brukere har problemer med å koble til databasen.
  • Netlify skyplattformfeil.
  • Problemer med tilgang til Xero -tjenester.
  • Et forsøk på å opprette en TLS -tilkobling med MailGun Web API mislyktes.
  • Feil i macOS- og iOS -versjoner (11, 13, 14), som teoretisk sett ikke burde vært påvirket av problemet.
  • Feil i fangstpunktstjenester.
  • Kunne ikke kontrollere sertifikater ved tilgang til PostMan API.
  • The Guardian Firewall krasjet.
  • Avbrudd på monday.com -støttesiden.
  • Krasj på Cerb -plattformen.
  • Kan ikke bekrefte oppetid i Google Cloud Monitoring.
  • Problem med sertifikatvalidering på Cisco Umbrella Secure Web Gateway.
  • Problemer med å koble til fullmakter fra Bluecoat og Palo Alto.
  • OVHcloud har problemer med å koble til OpenStack API.
  • Problemer med å generere rapporter i Shopify.
  • Det er problemer med tilgang til Heroku API.
  • Krasj i Ledger Live Manager.
  • Sertifikatvalideringsfeil i Facebook -applikasjonsutviklingsverktøy.
  • Problemer i Sophos SG UTM.
  • Problemer med sertifikatverifisering i cPanel.

Som en alternativ løsning foreslås det å fjerne sertifikatet «DST Root CA X3» fra systemlageret (/etc/ca-certificates.conf og / etc / ssl / certs) og kjør deretter kommandoen "update -ca -ificates -f -v").

På CentOS og RHEL kan du legge til "DST Root CA X3" -sertifikatet til svartelisten.


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: AB Internet Networks 2008 SL
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.