O dia de ontem nós compartilhamos a novidade aqui no blog no encerramento do certificado IdenTrust (DST Root CA X3) usado para assinar o certificado Let's Encrypt CA causou problemas com a validação do certificado Let's Encrypt em projetos que usam versões mais antigas de OpenSSL e GnuTLS.
Os problemas também afetaram a biblioteca LibreSSL, cujos desenvolvedores não levaram em consideração a experiência anterior relacionada a travamentos que ocorreram após a expiração do certificado raiz AddTrust da autoridade de certificação Sectigo (Comodo).
E é que nas versões OpenSSL até e incluindo 1.0.2 e no GnuTLS antes de 3.6.14, ocorreu um erro que não permitia o processamento correto de certificados com assinatura cruzada se um dos certificados raiz usados para assinatura expirasse, mesmo que outros certificados fossem mantidos.
A essência do erro é que as versões anteriores do OpenSSL e GnuTLS analisaram o certificado como uma cadeia linear, ao passo que, de acordo com a RFC 4158, um certificado pode representar um gráfico de pizza distribuído direcionado com várias âncoras de confiança que devem ser levadas em consideração.
Entretanto o projeto OpenBSD lançou com urgência patches para os ramos 6.8 e 6.9 hoje, que corrige problemas no LibreSSL com verificação de certificado de assinatura cruzada, um dos certificados raiz na cadeia de confiança expirou. Como solução para o problema, é recomendado em / etc / installurl, mudar de HTTPS para HTTP (isso não ameaça a segurança, pois as atualizações são verificadas adicionalmente por assinatura digital) ou selecione um espelho alternativo (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).
também O certificado DST Root CA X3 expirado pode ser removido do arquivo /etc/ssl/cert.pem, e o utilitário syspatch usado para instalar atualizações binárias do sistema parou de funcionar no OpenBSD.
Problemas similares de DragonFly BSD ocorrem ao trabalhar com DPorts. Ao iniciar o gerenciador de pacotes pkg, um erro de validação de certificado é gerado. A correção foi adicionada aos branches master, DragonFly_RELEASE_6_0 e DragonFly_RELEASE_5_8 hoje. Como solução alternativa, você pode remover o certificado DST Root CA X3.
Algumas das falhas que ocorreram após o cancelamento do certificado IdenTrust foram os seguintes:
- O processo de verificação do certificado Let's Encrypt foi interrompido em aplicativos baseados na plataforma Electron. Este problema foi corrigido nas atualizações 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Algumas distribuições têm problemas para acessar repositórios de pacotes ao usar o gerenciador de pacotes APT incluído com versões anteriores da biblioteca GnuTLS.
- Debian 9 se vio afectado por el paquete GnuTLS sin parches, lo que provocó problemas para acceder a deb.debian.org para los usuarios que no instalaron las actualizaciones a tiempo (la solución gnutls28-3.5.8-5 + deb9u6 se propuso el 17 de setembro).
- O cliente acme quebrou no OPNsense, o problema foi relatado com antecedência, mas os desenvolvedores não conseguiram lançar o patch a tempo.
- O problema afetou o pacote OpenSSL 1.0.2k no RHEL / CentOS 7, mas uma semana atrás para RHEL 7 e CentOS 7, uma atualização para o pacote ca-certificate-2021.2.50-72.el7_9.noarch foi gerado, a partir do qual o O certificado IdenTrust foi excluído, ou seja, a manifestação do problema foi bloqueada anteriormente.
- Como as atualizações foram lançadas antes, o problema com a verificação do certificado Let's Encrypt afetou apenas os usuários dos antigos RHEL / CentOS e branches do Ubuntu, que não instalam atualizações regularmente.
- O processo de verificação de certificado no grpc está quebrado.
- Falha ao criar plataforma de página Cloudflare.
- Problemas do Amazon Web Services (AWS).
- Os usuários do DigitalOcean estão tendo problemas para se conectar ao banco de dados.
- Falha da plataforma de nuvem Netlify.
- Problemas para acessar os serviços Xero.
- Uma tentativa de estabelecer uma conexão TLS com a API da Web MailGun falhou.
- Bugs nas versões macOS e iOS (11, 13, 14), que teoricamente não deveriam ter sido afetados pelo problema.
- Falha nos serviços de ponto de captura.
- Falha ao verificar os certificados ao acessar a API PostMan.
- O Guardian Firewall travou.
- Interrupção na página de suporte monday.com.
- Bater na plataforma Cerb.
- Não foi possível verificar o tempo de atividade no Google Cloud Monitoring.
- Problema com validação de certificado no Cisco Umbrella Secure Web Gateway.
- Problemas de conexão com proxies Bluecoat e Palo Alto.
- OVHcloud está tendo problemas para se conectar à API OpenStack.
- Problemas ao gerar relatórios no Shopify.
- Existem problemas para acessar a API do Heroku.
- Crash no Ledger Live Manager.
- Erro de validação de certificado nas ferramentas de desenvolvimento de aplicativos do Facebook.
- Problemas na Sophos SG UTM.
- Problemas com verificação de certificado no cPanel.
Como solução alternativa, propõe-se a exclusão do certificado «DST Root CA X3» do armazenamento do sistema (/etc/ca-certificates.conf e / etc / ssl / certs) e, em seguida, execute o comando "update-ca -ificates -f -v").
No CentOS e RHEL, você pode adicionar o certificado "DST Root CA X3" à lista negra.