Problemet e krijuara nga përfundimi i certifikatës DST Root CA X3 tashmë kanë filluar

Darkcrizt

Minuta 4

Dje ne i ndajmë lajmet këtu në blog mbi përfundimin e certifikatës IdenTrust (DST Root CA X3) e përdorur për të nënshkruar certifikatën Let's Encrypt CA ka shkaktuar probleme me vlefshmërinë e certifikatës Let's Encrypt në projekte që përdorin versione më të vjetra të OpenSSL dhe GnuTLS.

Çështjet preku gjithashtu bibliotekën LibreSSL, zhvilluesit e të cilëve nuk morën parasysh përvojën e kaluar në lidhje me rrëzimet që ndodhën pasi skadoi certifikata rrënjësore AddTrust e autoritetit të certifikatës Sectigo (Comodo).

Dhe kjo në versionet OpenSSL deri në 1.0.2 dhe duke përfshirë 3.6.14 dhe në GnuTLS para XNUMX, ndodhi një gabim se nuk lejonte përpunimin e saktë të certifikatave të nënshkruara nëse një nga certifikatat rrënjësore të përdorura për nënshkrim kishte skaduar, edhe nëse ruheshin ato të tjera të vlefshme.

 Thelbi i gabimit është se versionet e mëparshme të OpenSSL dhe GnuTLS analizuan certifikatën si një zinxhir linear, ndërsa sipas RFC 4158, një certifikatë mund të përfaqësojë një tabelë të shpërndarë të shpërndarë të drejtuar me spiranca të ndryshme besimi që duhet të merren parasysh.

Do por parte projekti OpenBSD lëshoi ​​urgjentisht arna për degët 6.8 dhe 6.9 sot, të cilat rregullojnë çështjet në LibreSSL me verifikimin e certifikatës të nënshkruar, një nga certifikatat rrënjësore në zinxhirin e besimit ka skaduar. Si zgjidhje e problemit, rekomandohet në / etc / installurl, kaloni nga HTTPS në HTTP (kjo nuk kërcënon sigurinë, pasi përditësimet verifikohen shtesë me nënshkrim dixhital) ose zgjidhni një pasqyrë alternative (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

edhe certifikata e skaduar e DST Root CA X3 mund të hiqet nga skedari /etc/ssl/cert.pem, dhe mjeti syspatch i përdorur për të instaluar përditësimet binare të sistemit ka ndaluar së punuari në OpenBSD.

Probleme të ngjashme DragonFly BSD ndodhin kur punoni me DPorts. Kur filloni menaxherin e paketave pkg, gjenerohet një gabim i vërtetimit të certifikatës. Rregullimi është shtuar në degët kryesore, DragonFly_RELEASE_6_0 dhe DragonFly_RELEASE_5_8 sot. Si një zgjidhje, ju mund të hiqni certifikatën DST Root CA X3.

Disa nga dështimet që ndodhën pasi certifikata IdenTrust u anulua ishin si më poshtë:

  • Procesi i verifikimit të Certifikatës Let's Encrypt është ndërprerë në aplikacionet e bazuara në platformën Electron. Kjo çështje u rregullua në përditësimet 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Disa shpërndarje kanë probleme në qasjen në depot e paketave kur përdorni menaxherin e paketave APT të përfshirë me versionet më të vjetra të bibliotekës GnuTLS.
  • Debian 9 u prek nga paketa e pakontrolluar GnuTLS, duke shkaktuar probleme në hyrjen në deb.debian.org për përdoruesit që nuk instaluan përditësimet në kohë (rregullimi i gnutls28-3.5.8-5 + deb9u6 u propozua më 17 shtator).
  • Klienti acme shpërtheu në OPNsense, çështja u raportua para kohe, por zhvilluesit nuk arritën të lëshojnë arnimin në kohë.
  • Çështja preku paketën OpenSSL 1.0.2k në RHEL / CentOS 7, por një javë më parë për RHEL 7 dhe CentOS 7, u krijua një përditësim i paketës ca-certifikatë-2021.2.50-72.el7_9.noarch, nga e cila Certifikata IdenTrust u fshi, domethënë, manifestimi i problemit u bllokua më parë.
  • Meqenëse azhurnimet u lëshuan herët, problemi me verifikimin e certifikatës Let's Encrypt preku vetëm përdoruesit e degëve të vjetra RHEL / CentOS dhe Ubuntu, të cilët nuk instalojnë përditësime rregullisht.
  • Procesi i verifikimit të certifikatës në grpc është prishur.
  • Krijimi i platformës së faqes Cloudflare dështoi.
  • Çështjet e Shërbimeve të Uebit të Amazon (AWS).
  • Përdoruesit e DigitalOcean kanë probleme të lidhen me bazën e të dhënave.
  • Dështimi i platformës së Netlify cloud.
  • Probleme me qasjen në shërbimet Xero.
  • Një përpjekje për të krijuar një lidhje TLS me API Web MailGun dështoi.
  • Gabimet në versionet macOS dhe iOS (11, 13, 14), të cilat teorikisht nuk duhet të ishin prekur nga problemi.
  • Dështimi i shërbimeve të pikave të kapjes.
  • Dështoi në kontrollimin e certifikatave kur hyni në API PostMan.
  • Firewall Guardian u rrëzua.
  • Përçarje në faqen mbështetëse të monday.com.
  • Rrëzimi në platformën Cerb.
  • Nuk mund të verifikohet koha e funksionimit në Google Cloud Monitoring.
  • Çështje me vërtetimin e certifikatës në Cisco Umbrella Secure Web Gateway.
  • Problemet që lidhen me përfaqësuesit e Bluecoat dhe Palo Alto.
  • OVHcloud ka probleme me lidhjen me API të OpenStack.
  • Problemet në gjenerimin e raporteve në Shopify.
  • Ka probleme me qasjen në API Heroku.
  • Rrëzimi në Ledger Live Manager.
  • Gabim në vërtetimin e certifikatës në mjetet e zhvillimit të aplikacioneve në Facebook.
  • Problemet në Sophos SG UTM.
  • Probleme me verifikimin e certifikatës në cPanel.

Si një zgjidhje alternative, propozohet të fshini certifikatën «DST Root CA X3» nga dyqani i sistemit (/etc/ca-certificates.conf dhe / etc / ssl / certs) dhe më pas ekzekutoni komandën "update -ca -ificates -f -v").

Në CentOS dhe RHEL, mund të shtoni certifikatën "DST Root CA X3" në listën e zezë.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: AB Internet Networks 2008 SL
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.