Problemy generowane przez ukończenie certyfikatu DST Root CA X3 już się rozpoczęły

Darkcrizt

4 minut

Wczoraj udostępniamy wiadomości tutaj na blogu w sprawie wygaśnięcia certyfikatu IdenTrust (DST Root CA X3) używanego do podpisywania certyfikatu Let's Encrypt CA spowodowało problemy z walidacją certyfikatu Let's Encrypt w projektach wykorzystujących starsze wersje OpenSSL i GnuTLS.

Problemy dotyczyły również biblioteki LibreSSL, którego programiści nie wzięli pod uwagę wcześniejszych doświadczeń związanych z awariami, które miały miejsce po wygaśnięciu certyfikatu głównego AddTrust urzędu certyfikacji Sectigo (Comodo).

I w wersjach OpenSSL do 1.0.2 włącznie oraz w GnuTLS przed 3.6.14 wystąpił błąd że nie pozwalał na prawidłowe przetwarzanie certyfikatów z podpisem krzyżowym, jeśli jeden z certyfikatów głównych użytych do podpisywania wygasł, nawet jeśli zachowano inne ważne.

 Istotą błędu jest to, że poprzednie wersje OpenSSL i GnuTLS analizowały certyfikat jako łańcuch liniowy, podczas gdy zgodnie z RFC 4158 certyfikat może reprezentować ukierunkowany rozproszony wykres kołowy z różnymi kotwicami zaufania, które należy wziąć pod uwagę.

W międzyczasie projekt OpenBSD pilnie udostępnił dziś łatki dla gałęzi 6.8 i 6.9, które rozwiązują problemy w LibreSSL z weryfikacją certyfikatu z podpisem krzyżowym, jeden z certyfikatów głównych w łańcuchu zaufania wygasł. Jako rozwiązanie problemu zalecane jest w /etc/installurl przejście z HTTPS na HTTP (nie zagraża to bezpieczeństwu, gdyż aktualizacje są dodatkowo weryfikowane podpisem cyfrowym) lub wybór alternatywnego mirrora (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

również wygasły certyfikat DST Root CA X3 można usunąć z pliku /etc/ssl/cert.pem, a narzędzie syspatch używane do instalowania binarnych aktualizacji systemu przestało działać na OpenBSD.

Podobne problemy z DragonFly BSD występują podczas pracy z portami DPort. Podczas uruchamiania menedżera pakietów pkg generowany jest błąd walidacji certyfikatu. Poprawka została dodana do gałęzi głównych, DragonFly_RELEASE_6_0 i DragonFly_RELEASE_5_8. Jako obejście możesz usunąć certyfikat DST Root CA X3.

Niektóre z awarii, które wystąpiły po unieważnieniu certyfikatu IdenTrust były następujące:

  • Proces weryfikacji certyfikatu Let's Encrypt został przerwany w aplikacjach opartych na platformie Electron. Ten problem został rozwiązany w aktualizacjach 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Niektóre dystrybucje mają problemy z dostępem do repozytoriów pakietów podczas korzystania z menedżera pakietów APT dołączonego do starszych wersji biblioteki GnuTLS.
  • Debian 9 został dotknięty niezałatanym pakietem GnuTLS, powodując problemy z dostępem do deb.debian.org dla użytkowników, którzy nie zainstalowali aktualizacji na czas (poprawka gnutls28-3.5.8-5 + deb9u6 została zaproponowana 17 września).
  • Klient acme zepsuł się na OPNsense, problem został zgłoszony z wyprzedzeniem, ale programiści nie opublikowali łatki na czas.
  • Problem dotyczył pakietu OpenSSL 1.0.2k na RHEL / CentOS 7, ale tydzień temu dla RHEL 7 i CentOS 7 wygenerowano aktualizację pakietu ca-certificate-2021.2.50-72.el7_9.noarch, z którego Certyfikat IdenTrust został usunięty, to znaczy, że manifestacja problemu została wcześniej zablokowana.
  • Ponieważ aktualizacje zostały wydane wcześnie, problem z weryfikacją certyfikatu Let's Encrypt dotknął tylko użytkowników starych gałęzi RHEL/CentOS i Ubuntu, którzy nie instalują regularnie aktualizacji.
  • Proces weryfikacji certyfikatu w grpc jest zepsuty.
  • Nie udało się utworzyć platformy stron Cloudflare.
  • Problemy z usługami internetowymi Amazon (AWS).
  • Użytkownicy DigitalOcean mają problemy z połączeniem się z bazą danych.
  • Awaria platformy w chmurze Netlify.
  • Problemy z dostępem do usług Xero.
  • Próba nawiązania połączenia TLS z Web API MailGun nie powiodła się.
  • Błędy w wersjach macOS i iOS (11, 13, 14), których teoretycznie problem nie powinien dotyczyć.
  • Awaria usług Catchpoint.
  • Nie udało się sprawdzić certyfikatów podczas uzyskiwania dostępu do interfejsu PostMan API.
  • Zapora Strażnika uległa awarii.
  • Zakłócenie na stronie pomocy technicznej monday.com.
  • Awaria na platformie Cerb.
  • Nie można zweryfikować dostępności w Google Cloud Monitoring.
  • Problem z weryfikacją certyfikatu w Cisco Umbrella Secure Web Gateway.
  • Problemy z połączeniem z serwerami proxy Bluecoat i Palo Alto.
  • OVHcloud ma problem z połączeniem się z API OpenStack.
  • Problemy z generowaniem raportów w Shopify.
  • Wystąpiły problemy z dostępem do API Heroku.
  • Awaria w Ledger Live Manager.
  • Błąd weryfikacji certyfikatu w narzędziach do tworzenia aplikacji Facebooka.
  • Problemy w Sophos SG UTM.
  • Problemy z weryfikacją certyfikatu w cPanel.

Jako alternatywne rozwiązanie proponuje się usunięcie certyfikatu «DST Root CA X3» ze sklepu systemowego (/etc/ca-certificates.conf i /etc/ssl/certs), a następnie uruchom polecenie "update-ca -ificates -f -v").

W CentOS i RHEL możesz dodać certyfikat „DST Root CA X3” do czarnej listy.


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: AB Internet Networks 2008 SL
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.