Problemen som uppstår när DST Root CA X3 -certifikatet har slutförts har redan börjat

Darkcrizt

4 minuter

i går vi delar nyheterna här på bloggen om avslutandet av IdenTrust -certifikatet (DST Root CA X3) som används för att signera Let's Encrypt CA -certifikatet har orsakat problem med Let's Encrypt -certifikatvalidering i projekt som använder äldre versioner av OpenSSL och GnuTLS.

Problemen påverkade också LibreSSL -biblioteket, vars utvecklare inte tog hänsyn till tidigare erfarenheter relaterade till krascher som inträffade efter att AddTrust -rotcertifikatet för Sectigo (Comodo) certifikatutfärdaren gick ut.

Och det i OpenSSL -versioner till och med 1.0.2 och i GnuTLS före 3.6.14 uppstod ett fel att det inte tillät korrekt behandling av korssignerade certifikat om ett av de rotcertifikat som användes för signering upphörde att gälla, även om andra giltiga behålls.

 Kärnan i felet är att de tidigare versionerna av OpenSSL och GnuTLS analyserade certifikatet som en linjär kedja, medan enligt RFC 4158 kan ett certifikat representera ett riktat distribuerat cirkeldiagram med olika förtroendeankare som måste beaktas.

Samtidigt OpenBSD -projektet släppte omedelbart patchar för 6.8 och 6.9 filialer idag, som löser problem i LibreSSL med korssignerad certifikatverifiering, har ett av rotcertifikaten i förtroendekedjan gått ut. Som en lösning på problemet rekommenderas det i / etc / installurl, byta från HTTPS till HTTP (detta hotar inte säkerheten, eftersom uppdateringar dessutom verifieras med digital signatur) eller välj en alternativ spegel (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

också utgången DST Root CA X3 -certifikat kan tas bort från /etc/ssl/cert.pem -filen och syspatch -verktyget som används för att installera binära systemuppdateringar har slutat fungera på OpenBSD.

Liknande DragonFly BSD -problem uppstår när du arbetar med DPorts. När pkg -pakethanteraren startas genereras ett certifikatvalideringsfel. Fixen har lagts till i huvudgrenarna DragonFly_RELEASE_6_0 och DragonFly_RELEASE_5_8 idag. Som en lösning kan du ta bort DST Root CA X3 -certifikatet.

Några av de misslyckanden som inträffade efter att IdenTrust -certifikatet avbröts var följande:

  • Verifieringsprocessen för Let's Encrypt -certifikat har avbrutits i applikationer baserade på elektronplattformen. Det här problemet har åtgärdats i uppdateringar 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Vissa distributioner har problem med att komma åt paketförråd när de använder APT -pakethanteraren som ingår i äldre versioner av GnuTLS -biblioteket.
  • Debian 9 påverkades av det opatchade GnuTLS-paketet, vilket orsakade problem med åtkomst till deb.debian.org för användare som inte installerade uppdateringar i tid (fixa gnutls28-3.5.8-5 + deb9u6 föreslogs den 17 september).
  • Acme -klienten bröt på OPNsense, problemet rapporterades i förväg, men utvecklarna misslyckades med att släppa korrigeringen i tid.
  • Problemet påverkade OpenSSL 1.0.2k-paketet på RHEL / CentOS 7, men för en vecka sedan för RHEL 7 och CentOS 7 genererades en uppdatering av ca-certifikatet-2021.2.50-72.el7_9.noarch-paketet, från vilket The IdenTrust -certifikat raderades, det vill säga att manifestationen av problemet blockerades i förväg.
  • Eftersom uppdateringarna släpptes tidigt påverkade problemet med Let's Encrypt -certifikatverifiering endast användare av de gamla RHEL / CentOS- och Ubuntu -filialerna, som inte installerar uppdateringar regelbundet.
  • Certifikatverifieringsprocessen i grpc är trasig.
  • Det gick inte att skapa Cloudflare -sidplattform.
  • Amazon Web Services (AWS) problem.
  • DigitalOcean -användare har problem med att ansluta till databasen.
  • Netlify molnplattformfel.
  • Problem med åtkomst till Xero -tjänster.
  • Ett försök att upprätta en TLS -anslutning med MailGun Web API misslyckades.
  • Fel i macOS- och iOS -versioner (11, 13, 14), som teoretiskt sett inte borde ha påverkats av problemet.
  • Catchpoint -tjänster misslyckas.
  • Det gick inte att kontrollera certifikaten vid åtkomst till PostMan API.
  • Guardian Firewall kraschade.
  • Störning på monday.com supportsida.
  • Krasch på Cerb -plattformen.
  • Det går inte att verifiera drifttiden i Google Cloud Monitoring.
  • Problem med certifikatvalidering på Cisco Umbrella Secure Web Gateway.
  • Problem med att ansluta till Bluecoat och Palo Alto proxies.
  • OVHcloud har problem med att ansluta till OpenStack API.
  • Problem med att generera rapporter i Shopify.
  • Det finns problem med att komma åt Heroku API.
  • Krasch i Ledger Live Manager.
  • Certifikatvalideringsfel i Facebook -utvecklingsverktyg.
  • Problem i Sophos SG UTM.
  • Problem med certifikatverifiering i cPanel.

Som en alternativ lösning föreslås att ta bort certifikatet «DST Root CA X3» från systemlagret (/etc/ca-certificates.conf och / etc / ssl / certs) och kör sedan kommandot "update -ca -ificates -f -v").

På CentOS och RHEL kan du lägga till certifikatet "DST Root CA X3" till svartlistan.


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för data: AB Internet Networks 2008 SL
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.