вчера мы делимся новостями здесь, в блоге при прекращении действия сертификата IdenTrust (DST Root CA X3), используемого для подписи сертификата CA Let's Encrypt, вызвала проблемы с проверкой сертификата Let's Encrypt в проектах, использующих более старые версии OpenSSL и GnuTLS.
Проблемы также коснулись библиотеки LibreSSL, разработчики которого не учли прошлый опыт, связанный со сбоями, произошедшими после истечения срока действия корневого сертификата AddTrust центра сертификации Sectigo (Comodo).
И это в версиях OpenSSL до 1.0.2 включительно и в GnuTLS до 3.6.14 произошла ошибка что не позволяло корректно обрабатывать перекрестно подписанные сертификаты, если срок действия одного из корневых сертификатов, используемых для подписи, истек, даже если другие действующие сертификаты были сохранены.
Суть ошибки в том, что предыдущие версии OpenSSL и GnuTLS разбирали сертификат как линейную цепочку, тогда как в соответствии с RFC 4158 сертификат может представлять собой направленную распределенную круговую диаграмму с различными якорями доверия, которые необходимо учитывать.
Между тем проект OpenBSD срочно выпустил сегодня патчи для веток 6.8 и 6.9, которые устраняют проблемы в LibreSSL с проверкой сертификата с перекрестной подписью, срок действия одного из корневых сертификатов в цепочке доверия истек. В качестве решения проблемы рекомендуется в / etc / installurl перейти с HTTPS на HTTP (это не угрожает безопасности, так как обновления дополнительно проверяются цифровой подписью) или выбрать альтернативное зеркало (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).
также истек срок действия сертификата DST Root CA X3, можно удалить из файла /etc/ssl/cert.pem, а утилита syspatch, используемая для установки обновлений двоичной системы, перестала работать в OpenBSD.
Подобные проблемы DragonFly BSD возникают при работе с портами DP. При запуске диспетчера пакетов pkg генерируется ошибка проверки сертификата. Исправление было добавлено сегодня в основные ветки DragonFly_RELEASE_6_0 и DragonFly_RELEASE_5_8. В качестве временного решения можно удалить сертификат DST Root CA X3.
Некоторые из произошедших сбоев после аннулирования сертификата IdenTrust были следующие:
- Процесс проверки сертификата Let's Encrypt был прерван в приложениях на платформе Electron. Эта проблема устранена в обновлениях 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- В некоторых дистрибутивах возникают проблемы с доступом к репозиториям пакетов при использовании диспетчера пакетов APT, включенного в более старые версии библиотеки GnuTLS.
- На Debian 9 повлиял непропатченный пакет GnuTLS, что вызвало проблемы с доступом к deb.debian.org для пользователей, которые не установили обновления вовремя (исправление gnutls28-3.5.8-5 + deb9u6 было предложено 17 сентября).
- Клиент acme сломался на OPNsense, о проблеме сообщили заранее, но разработчики не успели выпустить патч вовремя.
- Проблема затронула пакет OpenSSL 1.0.2k в RHEL / CentOS 7, но неделю назад для RHEL 7 и CentOS 7 было создано обновление пакета ca-certificate-2021.2.50-72.el7_9.noarch, из которого Сертификат IdenTrust был удален, то есть проявление проблемы было заранее заблокировано.
- Поскольку обновления были выпущены заранее, проблема с проверкой сертификата Let's Encrypt затронула только пользователей старых веток RHEL / CentOS и Ubuntu, которые не устанавливают обновления регулярно.
- Нарушен процесс проверки сертификата в grpc.
- Не удалось создать платформу страницы Cloudflare.
- Проблемы с Amazon Web Services (AWS).
- Пользователи DigitalOcean не могут подключиться к базе данных.
- Ошибка облачной платформы Netlify.
- Проблемы с доступом к сервисам Xero.
- Попытка установить TLS-соединение с веб-API MailGun не удалась.
- Ошибки в версиях macOS и iOS (11, 13, 14), на которые теоретически проблема не должна была повлиять.
- Сбой службы точки перехвата.
- Не удалось проверить сертификаты при доступе к PostMan API.
- Брандмауэр Guardian потерпел крах.
- Сбой на странице поддержки monday.com.
- Авария на платформе Cerb.
- Невозможно проверить время безотказной работы в Google Cloud Monitoring.
- Проблема с проверкой сертификата на Cisco Umbrella Secure Web Gateway.
- Проблемы с подключением к прокси Bluecoat и Palo Alto.
- OVHcloud не может подключиться к OpenStack API.
- Проблемы с формированием отчетов в Shopify.
- Возникли проблемы с доступом к Heroku API.
- Сбой в Ledger Live Manager.
- Ошибка проверки сертификата в инструментах разработки приложений Facebook.
- Проблемы в Sophos SG UTM.
- Проблемы с проверкой сертификата в cPanel.
В качестве альтернативного решения предлагается удалить сертификат «DST Root CA X3». из системного хранилища (/etc/ca-certificates.conf и / etc / ssl / certs), а затем выполните команду «update-ca -ificates -f -v»).
В CentOS и RHEL вы можете добавить сертификат «DST Root CA X3» в черный список.