Problemele generate de finalizarea certificatului DST Root CA X3 au început deja

Darkcrizt

Minute 4

ieri împărtășim știrile aici pe blog la terminarea certificatului IdenTrust (DST Root CA X3) utilizat pentru semnarea certificatului Let's Encrypt CA a cauzat probleme cu validarea certificatului Let's Encrypt în proiecte care utilizează versiuni mai vechi de OpenSSL și GnuTLS.

Problemele au afectat și biblioteca LibreSSL, ai cărui dezvoltatori nu au ținut cont de experiența anterioară legată de blocările care au avut loc după expirarea certificatului rădăcină AddTrust al autorității de certificare Sectigo (Comodo).

Și asta în versiunile OpenSSL până la 1.0.2 inclusiv și în GnuTLS înainte de 3.6.14, a apărut o eroare că nu a permis procesarea corectă a certificatelor semnate încrucișat dacă unul dintre certificatele rădăcină utilizate pentru semnare a expirat, chiar dacă au fost păstrate alte valide.

 Esențialul erorii este că versiunile anterioare ale OpenSSL și GnuTLS au analizat certificatul ca un lanț liniar, întrucât, conform RFC 4158, un certificat poate reprezenta o diagramă circulară distribuită cu diferite ancore de încredere care trebuie luate în considerare.

Între timp proiectul OpenBSD a lansat urgent patch-uri pentru sucursalele 6.8 și 6.9 astăzi, care remediază problemele din LibreSSL cu verificarea certificatului semnat încrucișat, unul dintre certificatele rădăcină din lanțul de încredere a expirat. Ca soluție la problemă, este recomandat în / etc / installurl, comutați de la HTTPS la HTTP (acest lucru nu amenință securitatea, deoarece actualizările sunt verificate suplimentar prin semnătură digitală) sau selectați o oglindă alternativă (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

de asemenea certificatul DST Root CA X3 expirat poate fi eliminat din fișierul /etc/ssl/cert.pem, iar utilitarul syspatch utilizat pentru instalarea actualizărilor de sistem binar nu mai funcționează pe OpenBSD.

Probleme similare DragonFly BSD apar atunci când lucrați cu DPorts. La pornirea managerului de pachete pkg, se generează o eroare de validare a certificatului. Remediul a fost adăugat astăzi la ramurile principale, DragonFly_RELEASE_6_0 și DragonFly_RELEASE_5_8. Ca soluție, puteți elimina certificatul rădăcină DST CA X3.

Unele dintre eșecurile care au avut loc după anularea certificatului IdenTrust au fost următoarele:

  • Procesul de verificare a certificatului Let's Encrypt a fost întrerupt în aplicații bazate pe platforma Electron. Această problemă a fost remediată în actualizările 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Unele distribuții au probleme la accesarea depozitelor de pachete atunci când se utilizează managerul de pachete APT inclus în versiunile mai vechi ale bibliotecii GnuTLS.
  • Debian 9 a fost afectat de pachetul GnuTLS neperfectat, provocând probleme la accesarea deb.debian.org pentru utilizatorii care nu au instalat actualizări la timp (remedierea gnutls28-3.5.8-5 + deb9u6 a fost propusă la 17 septembrie).
  • Clientul acme a intrat pe OPNsense, problema a fost raportată din timp, dar dezvoltatorii nu au reușit să lanseze patch-ul la timp.
  • Problema a afectat pachetul OpenSSL 1.0.2k de pe RHEL / CentOS 7, dar acum o săptămână pentru RHEL 7 și CentOS 7, a fost generată o actualizare a pachetului ca-certificate-2021.2.50-72.el7_9.noarch, din care a fost generat Certificatul IdenTrust a fost șters, adică manifestarea problemei a fost blocată în prealabil.
  • Deoarece actualizările au fost lansate devreme, problema cu verificarea certificatului Let's Encrypt a afectat numai utilizatorii vechilor filiale RHEL / CentOS și Ubuntu, care nu instalează actualizări în mod regulat.
  • Procesul de verificare a certificatului în grpc este întrerupt.
  • Nu s-a putut crea platforma de pagini Cloudflare.
  • Probleme Amazon Web Services (AWS).
  • Utilizatorii DigitalOcean au probleme cu conectarea la baza de date.
  • Eșecul platformei cloud Netlify.
  • Probleme la accesarea serviciilor Xero.
  • O încercare de a stabili o conexiune TLS cu MailGun Web API nu a reușit.
  • Bug-uri în versiunile macOS și iOS (11, 13, 14), care teoretic nu ar fi trebuit să fie afectate de problemă.
  • Eroare a serviciilor Catchpoint.
  • Nu s-au putut verifica certificatele la accesarea API-ului PostMan.
  • Paravanul de protecție Guardian s-a prăbușit.
  • Întreruperi pe pagina de asistență monday.com.
  • Crash pe platforma Cerb.
  • Nu se poate verifica disponibilitatea în Google Cloud Monitoring.
  • Problemă cu validarea certificatului pe Cisco Umbrella Secure Web Gateway.
  • Probleme de conectare la proxy-urile Bluecoat și Palo Alto.
  • OVHcloud întâmpină probleme la conectarea la API-ul OpenStack.
  • Probleme la generarea rapoartelor în Shopify.
  • Există probleme la accesarea API-ului Heroku.
  • Crash în Ledger Live Manager.
  • Eroare de validare a certificatului în instrumentele de dezvoltare a aplicațiilor Facebook.
  • Probleme în Sophos SG UTM.
  • Probleme cu verificarea certificatului în cPanel.

Ca soluție alternativă, se propune eliminarea certificatului „DST Root CA X3” din sistemul de stocare (/etc/ca-certificates.conf și / etc / ssl / certs) și apoi executați comanda „update-ca -ificates -f -v”).

Pe CentOS și RHEL, puteți adăuga certificatul „DST Root CA X3” pe lista neagră.


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: AB Internet Networks 2008 SL
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.