Wczoraj udostępniamy wiadomości tutaj na blogu w sprawie wygaśnięcia certyfikatu IdenTrust (DST Root CA X3) używanego do podpisywania certyfikatu Let's Encrypt CA spowodowało problemy z walidacją certyfikatu Let's Encrypt w projektach wykorzystujących starsze wersje OpenSSL i GnuTLS.
Problemy dotyczyły również biblioteki LibreSSL, którego programiści nie wzięli pod uwagę wcześniejszych doświadczeń związanych z awariami, które miały miejsce po wygaśnięciu certyfikatu głównego AddTrust urzędu certyfikacji Sectigo (Comodo).
I w wersjach OpenSSL do 1.0.2 włącznie oraz w GnuTLS przed 3.6.14 wystąpił błąd że nie pozwalał na prawidłowe przetwarzanie certyfikatów z podpisem krzyżowym, jeśli jeden z certyfikatów głównych użytych do podpisywania wygasł, nawet jeśli zachowano inne ważne.
Istotą błędu jest to, że poprzednie wersje OpenSSL i GnuTLS analizowały certyfikat jako łańcuch liniowy, podczas gdy zgodnie z RFC 4158 certyfikat może reprezentować ukierunkowany rozproszony wykres kołowy z różnymi kotwicami zaufania, które należy wziąć pod uwagę.
W międzyczasie projekt OpenBSD pilnie udostępnił dziś łatki dla gałęzi 6.8 i 6.9, które rozwiązują problemy w LibreSSL z weryfikacją certyfikatu z podpisem krzyżowym, jeden z certyfikatów głównych w łańcuchu zaufania wygasł. Jako rozwiązanie problemu zalecane jest w /etc/installurl przejście z HTTPS na HTTP (nie zagraża to bezpieczeństwu, gdyż aktualizacje są dodatkowo weryfikowane podpisem cyfrowym) lub wybór alternatywnego mirrora (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).
również wygasły certyfikat DST Root CA X3 można usunąć z pliku /etc/ssl/cert.pem, a narzędzie syspatch używane do instalowania binarnych aktualizacji systemu przestało działać na OpenBSD.
Podobne problemy z DragonFly BSD występują podczas pracy z portami DPort. Podczas uruchamiania menedżera pakietów pkg generowany jest błąd walidacji certyfikatu. Poprawka została dodana do gałęzi głównych, DragonFly_RELEASE_6_0 i DragonFly_RELEASE_5_8. Jako obejście możesz usunąć certyfikat DST Root CA X3.
Niektóre z awarii, które wystąpiły po unieważnieniu certyfikatu IdenTrust były następujące:
- Proces weryfikacji certyfikatu Let's Encrypt został przerwany w aplikacjach opartych na platformie Electron. Ten problem został rozwiązany w aktualizacjach 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Niektóre dystrybucje mają problemy z dostępem do repozytoriów pakietów podczas korzystania z menedżera pakietów APT dołączonego do starszych wersji biblioteki GnuTLS.
- Debian 9 został dotknięty niezałatanym pakietem GnuTLS, powodując problemy z dostępem do deb.debian.org dla użytkowników, którzy nie zainstalowali aktualizacji na czas (poprawka gnutls28-3.5.8-5 + deb9u6 została zaproponowana 17 września).
- Klient acme zepsuł się na OPNsense, problem został zgłoszony z wyprzedzeniem, ale programiści nie opublikowali łatki na czas.
- Problem dotyczył pakietu OpenSSL 1.0.2k na RHEL / CentOS 7, ale tydzień temu dla RHEL 7 i CentOS 7 wygenerowano aktualizację pakietu ca-certificate-2021.2.50-72.el7_9.noarch, z którego Certyfikat IdenTrust został usunięty, to znaczy, że manifestacja problemu została wcześniej zablokowana.
- Ponieważ aktualizacje zostały wydane wcześnie, problem z weryfikacją certyfikatu Let's Encrypt dotknął tylko użytkowników starych gałęzi RHEL/CentOS i Ubuntu, którzy nie instalują regularnie aktualizacji.
- Proces weryfikacji certyfikatu w grpc jest zepsuty.
- Nie udało się utworzyć platformy stron Cloudflare.
- Problemy z usługami internetowymi Amazon (AWS).
- Użytkownicy DigitalOcean mają problemy z połączeniem się z bazą danych.
- Awaria platformy w chmurze Netlify.
- Problemy z dostępem do usług Xero.
- Próba nawiązania połączenia TLS z Web API MailGun nie powiodła się.
- Błędy w wersjach macOS i iOS (11, 13, 14), których teoretycznie problem nie powinien dotyczyć.
- Awaria usług Catchpoint.
- Nie udało się sprawdzić certyfikatów podczas uzyskiwania dostępu do interfejsu PostMan API.
- Zapora Strażnika uległa awarii.
- Zakłócenie na stronie pomocy technicznej monday.com.
- Awaria na platformie Cerb.
- Nie można zweryfikować dostępności w Google Cloud Monitoring.
- Problem z weryfikacją certyfikatu w Cisco Umbrella Secure Web Gateway.
- Problemy z połączeniem z serwerami proxy Bluecoat i Palo Alto.
- OVHcloud ma problem z połączeniem się z API OpenStack.
- Problemy z generowaniem raportów w Shopify.
- Wystąpiły problemy z dostępem do API Heroku.
- Awaria w Ledger Live Manager.
- Błąd weryfikacji certyfikatu w narzędziach do tworzenia aplikacji Facebooka.
- Problemy w Sophos SG UTM.
- Problemy z weryfikacją certyfikatu w cPanel.
Jako alternatywne rozwiązanie proponuje się usunięcie certyfikatu «DST Root CA X3» ze sklepu systemowego (/etc/ca-certificates.conf i /etc/ssl/certs), a następnie uruchom polecenie "update-ca -ificates -f -v").
W CentOS i RHEL możesz dodać certyfikat „DST Root CA X3” do czarnej listy.