Kahapon ibinabahagi namin ang balita dito sa blog sa pagwawakas ng sertipiko ng IdenTrust (DST Root CA X3) na ginamit upang pirmahan ang sertipiko ng Let's Encrypt CA ay nagdulot ng mga problema sa pagpapatunay ng sertipiko ng Let's Encrypt sa mga proyekto na gumagamit ng mas lumang mga bersyon ng OpenSSL at GnuTLS.
Ang mga isyu ay nakaapekto rin sa LibreSSL library, na ang mga tagabuo ay hindi isinasaalang-alang ang nakaraang karanasan na nauugnay sa mga pag-crash na naganap matapos mag-expire ang root ng sertipiko ng AddTrust ng awtoridad ng sertipiko ng Sectigo (Comodo).
At sa mga bersyon ng OpenSSL hanggang at kabilang ang 1.0.2 at sa GnuTLS bago ang 3.6.14, isang error ang naganap na hindi pinapayagan ang tamang pagproseso ng mga cross-sign na sertipiko kung ang isa sa mga root certificate na ginamit para sa pag-sign ay nag-expire na, kahit na ang iba pang mga may bisa ay itinatago.
Ang kabuluhan ng bug ay ang mga nakaraang bersyon ng OpenSSL at GnuTLS na-parse ang sertipiko bilang isang linear chain, samantalang ayon sa RFC 4158, ang isang sertipiko ay maaaring kumatawan sa isang nakadirekta na chart ng pie na may iba't ibang mga anchor ng tiwala na dapat isaalang-alang.
Samantala ang proyekto ng OpenBSD na agad na naglabas ng mga patch para sa 6.8 at 6.9 na sangay ngayon, na nag-aayos ng mga isyu sa LibreSSL na may cross-sign na pag-verify ng sertipiko, ang isa sa mga ugat na sertipiko sa chain ng pagtitiwala ay nag-expire na. Bilang isang solusyon sa problema, inirerekumenda sa / etc / installurl, lumipat mula sa HTTPS patungong HTTP (hindi ito nagbabanta sa seguridad, dahil ang mga pag-update ay karagdagan na napatunayan ng digital signature) o pumili ng isang kahaliling salamin (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).
Rin maaaring alisin ang nag-expire na sertipiko ng DST Root CA X3 mula sa /etc/ssl/cert.pem file, at ang syspatch utility na ginamit upang mai-install ang mga pag-update ng binary system ay tumigil sa pagtatrabaho sa OpenBSD.
Ang mga katulad na problema sa DragonFly BSD ay nangyayari kapag nagtatrabaho sa DPorts. Kapag sinisimulan ang tagapamahala ng package ng pkg, nabuo ang isang error sa pagpapatunay ng sertipiko. Ang pag-aayos ay naidagdag sa mga master branch, DragonFly_RELEASE_6_0 at DragonFly_RELEASE_5_8 ngayon. Bilang isang pag-areglo, maaari mong alisin ang sertipiko ng DST Root CA X3.
Ilan sa mga kabiguang naganap pagkatapos ng pagkansela ng sertipiko ng IdenTrust ay ang mga sumusunod:
- Ang proseso ng pag-verify ng sertipiko ng Let's Encrypt ay nagambala sa mga application batay sa electron platform. Ang isyu na ito ay naayos sa mga pag-update 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- Ang ilang mga pamamahagi ay nagkakaproblema sa pag-access sa mga repository ng package kapag ginagamit ang APT package manager na may kasamang mga mas lumang bersyon ng GnuTLS library.
- Ang Debian 9 ay apektado ng hindi naipadala na package ng GnuTLS, na nagdudulot ng mga problema sa pag-access sa deb.debian.org para sa mga gumagamit na hindi nag-install ng mga update sa oras (ayusin ang gnutls28-3.5.8-5 + deb9u6 ay iminungkahi noong 17 ng Setyembre).
- Ang kliyente ng acme ay nasira sa OPNsense, ang isyu ay naiulat nang maaga, ngunit nabigo ang mga developer na palabasin ang patch sa oras.
- Naapektuhan ng isyu ang pakete ng OpenSSL 1.0.2k sa RHEL / CentOS 7, ngunit isang linggo ang nakakaraan para sa RHEL 7 at CentOS 7, isang pag-update sa ca-certificate-2021.2.50-72.el7_9.noarch package ay nabuo, kung saan ang The Ang sertipiko ng IdenTrust ay tinanggal, iyon ay, ang paghahayag ng problema ay na-block muna.
- Dahil maagang inilabas ang mga pag-update, ang problema sa pag-verify ng sertipiko ng Let's Encrypt ay nakakaapekto lamang sa mga gumagamit ng lumang sangay ng RHEL / CentOS at Ubuntu, na hindi regular na nag-i-install ng mga pag-update.
- Ang proseso ng pag-verify ng sertipiko sa grpc ay nasira.
- Nabigong lumikha ng platform ng pahina ng Cloudflare.
- Mga isyu sa Amazon Web Services (AWS).
- Ang mga gumagamit ng DigitalOcean ay nagkakaproblema sa pagkonekta sa database.
- Netlify na pagkabigo ng cloud platform.
- May mga problema sa pag-access sa mga serbisyo ng Xero.
- Nabigo ang isang pagtatangka upang maitaguyod ang isang koneksyon sa TLS sa MailGun Web API.
- Mga bug sa mga bersyon ng macOS at iOS (11, 13, 14), na ayon sa teoretikal na hindi dapat apektado ng problema.
- Nabigo ang mga serbisyo sa Catchpoint.
- Nabigong suriin ang mga sertipiko kapag na-access ang PostMan API.
- Bumagsak ang Guardian Firewall.
- Pagkagambala sa pahina ng suporta ng monday.com.
- Pag-crash sa platform ng Cerb.
- Hindi ma-verify ang uptime sa Google Cloud Monitoring.
- I-isyu na may pagpapatunay ng sertipiko sa Cisco Umbrella Secure Web Gateway.
- Mga problema sa pagkonekta sa mga proxy ng Bluecoat at Palo Alto.
- Nagkakaproblema ang OVHcloud sa pagkonekta sa OpenStack API.
- Mga problema sa pagbuo ng mga ulat sa Shopify.
- Mayroong mga problema sa pag-access sa Heroku API.
- Pag-crash sa Ledger Live Manager.
- Error sa pagpapatunay ng sertipiko sa mga tool sa pag-unlad ng application ng Facebook.
- Mga problema sa Sophos SG UTM.
- May mga problema sa pag-verify ng sertipiko sa cPanel.
Bilang isang kahaliling solusyon, iminungkahi na tanggalin ang sertipiko «DST Root CA X3» mula sa system store (/etc/ca-certandum.conf at / etc / ssl / certs) at pagkatapos ay patakbuhin ang utos na "update-ca-certificate -f -v").
Sa CentOS at RHEL, maaari mong idagdag ang sertipiko ng "DST Root CA X3" sa blacklist.