Os problemas gerados pela conclusão do certificado DST Root CA X3 já começaram

Darkcrizt

Minutos 4

O dia de ontem nós compartilhamos a novidade aqui no blog no encerramento do certificado IdenTrust (DST Root CA X3) usado para assinar o certificado Let's Encrypt CA causou problemas com a validação do certificado Let's Encrypt em projetos que usam versões mais antigas de OpenSSL e GnuTLS.

Os problemas também afetaram a biblioteca LibreSSL, cujos desenvolvedores não levaram em consideração a experiência anterior relacionada a travamentos que ocorreram após a expiração do certificado raiz AddTrust da autoridade de certificação Sectigo (Comodo).

E é que nas versões OpenSSL até e incluindo 1.0.2 e no GnuTLS antes de 3.6.14, ocorreu um erro que não permitia o processamento correto de certificados com assinatura cruzada se um dos certificados raiz usados ​​para assinatura expirasse, mesmo que outros certificados fossem mantidos.

 A essência do erro é que as versões anteriores do OpenSSL e GnuTLS analisaram o certificado como uma cadeia linear, ao passo que, de acordo com a RFC 4158, um certificado pode representar um gráfico de pizza distribuído direcionado com várias âncoras de confiança que devem ser levadas em consideração.

Entretanto o projeto OpenBSD lançou com urgência patches para os ramos 6.8 e 6.9 hoje, que corrige problemas no LibreSSL com verificação de certificado de assinatura cruzada, um dos certificados raiz na cadeia de confiança expirou. Como solução para o problema, é recomendado em / etc / installurl, mudar de HTTPS para HTTP (isso não ameaça a segurança, pois as atualizações são verificadas adicionalmente por assinatura digital) ou selecione um espelho alternativo (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

também O certificado DST Root CA X3 expirado pode ser removido do arquivo /etc/ssl/cert.pem, e o utilitário syspatch usado para instalar atualizações binárias do sistema parou de funcionar no OpenBSD.

Problemas similares de DragonFly BSD ocorrem ao trabalhar com DPorts. Ao iniciar o gerenciador de pacotes pkg, um erro de validação de certificado é gerado. A correção foi adicionada aos branches master, DragonFly_RELEASE_6_0 e DragonFly_RELEASE_5_8 hoje. Como solução alternativa, você pode remover o certificado DST Root CA X3.

Algumas das falhas que ocorreram após o cancelamento do certificado IdenTrust foram os seguintes:

  • O processo de verificação do certificado Let's Encrypt foi interrompido em aplicativos baseados na plataforma Electron. Este problema foi corrigido nas atualizações 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Algumas distribuições têm problemas para acessar repositórios de pacotes ao usar o gerenciador de pacotes APT incluído com versões anteriores da biblioteca GnuTLS.
  • Debian 9 se vio afectado por el paquete GnuTLS sin parches, lo que provocó problemas para acceder a deb.debian.org para los usuarios que no instalaron las actualizaciones a tiempo (la solución gnutls28-3.5.8-5 + deb9u6 se propuso el 17 de setembro).
  • O cliente acme quebrou no OPNsense, o problema foi relatado com antecedência, mas os desenvolvedores não conseguiram lançar o patch a tempo.
  • O problema afetou o pacote OpenSSL 1.0.2k no RHEL / CentOS 7, mas uma semana atrás para RHEL 7 e CentOS 7, uma atualização para o pacote ca-certificate-2021.2.50-72.el7_9.noarch foi gerado, a partir do qual o O certificado IdenTrust foi excluído, ou seja, a manifestação do problema foi bloqueada anteriormente.
  • Como as atualizações foram lançadas antes, o problema com a verificação do certificado Let's Encrypt afetou apenas os usuários dos antigos RHEL / CentOS e branches do Ubuntu, que não instalam atualizações regularmente.
  • O processo de verificação de certificado no grpc está quebrado.
  • Falha ao criar plataforma de página Cloudflare.
  • Problemas do Amazon Web Services (AWS).
  • Os usuários do DigitalOcean estão tendo problemas para se conectar ao banco de dados.
  • Falha da plataforma de nuvem Netlify.
  • Problemas para acessar os serviços Xero.
  • Uma tentativa de estabelecer uma conexão TLS com a API da Web MailGun falhou.
  • Bugs nas versões macOS e iOS (11, 13, 14), que teoricamente não deveriam ter sido afetados pelo problema.
  • Falha nos serviços de ponto de captura.
  • Falha ao verificar os certificados ao acessar a API PostMan.
  • O Guardian Firewall travou.
  • Interrupção na página de suporte monday.com.
  • Bater na plataforma Cerb.
  • Não foi possível verificar o tempo de atividade no Google Cloud Monitoring.
  • Problema com validação de certificado no Cisco Umbrella Secure Web Gateway.
  • Problemas de conexão com proxies Bluecoat e Palo Alto.
  • OVHcloud está tendo problemas para se conectar à API OpenStack.
  • Problemas ao gerar relatórios no Shopify.
  • Existem problemas para acessar a API do Heroku.
  • Crash no Ledger Live Manager.
  • Erro de validação de certificado nas ferramentas de desenvolvimento de aplicativos do Facebook.
  • Problemas na Sophos SG UTM.
  • Problemas com verificação de certificado no cPanel.

Como solução alternativa, propõe-se a exclusão do certificado «DST Root CA X3» do armazenamento do sistema (/etc/ca-certificates.conf e / etc / ssl / certs) e, em seguida, execute o comando "update-ca -ificates -f -v").

No CentOS e RHEL, você pode adicionar o certificado "DST Root CA X3" à lista negra.


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: AB Internet Networks 2008 SL
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.