DST Root CA X3 sertifikasının tamamlanmasının yarattığı sorunlar şimdiden başladı

Darkcrizt

4 minutos

Dün haberleri burada blogda paylaşıyoruz Let's Encrypt CA sertifikasını imzalamak için kullanılan IdenTrust sertifikasının (DST Root CA X3) feshedilmesi, OpenSSL ve GnuTLS'nin eski sürümlerini kullanan projelerde Let's Encrypt sertifika doğrulamasında sorunlara neden oldu.

Sorunlar ayrıca LibreSSL kitaplığını da etkiledi, geliştiricileri, Sectigo (Comodo) sertifika yetkilisinin AddTrust kök sertifikasının süresi dolduktan sonra meydana gelen çökmelerle ilgili geçmiş deneyimleri dikkate almayan.

Ve 1.0.2'ye kadar ve dahil olmak üzere OpenSSL sürümlerinde ve 3.6.14'ten önceki GnuTLS'de bir hata oluştu diğer geçerli olanlar saklansa bile, imzalama için kullanılan kök sertifikalardan birinin süresi dolduğunda çapraz imzalı sertifikaların doğru işlenmesine izin vermediğini.

 Hatanın özü, OpenSSL ve GnuTLS'nin önceki sürümlerinin sertifikayı doğrusal bir zincir olarak ayrıştırmasıdır. oysa RFC 4158'e göre bir sertifika, dikkate alınması gereken çeşitli güven bağlantılarına sahip yönlendirilmiş dağıtılmış bir pasta grafiği temsil edebilir.

Bu arada OpenBSD projesi bugün 6.8 ve 6.9 şubeleri için acilen yamalar yayınladı, Çapraz imzalı sertifika doğrulaması ile LibreSSL'deki sorunları çözen, güven zincirindeki kök sertifikalardan birinin süresi doldu. Soruna bir çözüm olarak, / etc / installurl'de, HTTPS'den HTTP'ye geçmeniz (güncellemeler ayrıca dijital imza ile doğrulandığından bu güvenliği tehdit etmez) veya alternatif bir yansıma seçmeniz önerilir (ftp.usa.openbsd.org). , ftp.hostserver.de, cdn.openbsd .org).

ayrıca süresi dolmuş DST Root CA X3 sertifikası kaldırılabilir /etc/ssl/cert.pem dosyasından ve ikili sistem güncellemelerini yüklemek için kullanılan syspatch yardımcı programı OpenBSD'de çalışmayı durdurdu.

DPort'larla çalışırken benzer DragonFly BSD sorunları ortaya çıkıyor. pkg paket yöneticisini başlatırken bir sertifika doğrulama hatası oluşuyor. Düzeltme, DragonFly_RELEASE_6_0 ve DragonFly_RELEASE_5_8 ana dallarına bugün eklendi. Çözüm olarak DST Root CA X3 sertifikasını kaldırabilirsiniz.

Meydana gelen arızalardan bazıları IdenTrust sertifikası iptal edildikten sonra şunlar oldu:

  • Electron platformu tabanlı uygulamalarda Let's Encrypt sertifika doğrulama işlemi kesintiye uğradı. Bu sorun 12.2.1, 13.5.1, 14.1.0, 15.1.0 güncellemelerinde düzeltildi.
  • Bazı dağıtımlar, GnuTLS kitaplığının eski sürümlerinde bulunan APT paket yöneticisini kullanırken paket havuzlarına erişimde sorun yaşar.
  • Debian 9, yama uygulanmamış GnuTLS paketinden etkilenerek, güncellemeleri zamanında yüklemeyen kullanıcılar için deb.debian.org'a erişimde sorunlara neden oldu (28 Eylül'de gnutls3.5.8-5-9 + deb6u17 düzeltmesi önerildi).
  • Acme istemcisi OPNsense'i kırdı, sorun önceden bildirildi, ancak geliştiriciler yamayı zamanında yayınlayamadı.
  • Sorun, RHEL / CentOS 1.0.2'deki OpenSSL 7k paketini etkiledi, ancak bir hafta önce RHEL 7 ve CentOS 7 için, ca-certificate-2021.2.50-72.el7_9.noarch paketine yönelik bir güncelleme oluşturuldu. IdenTrust sertifikası silindi, yani sorunun tezahürü önceden engellendi.
  • Güncellemeler erken yayınlandığından, Let's Encrypt sertifika doğrulamasıyla ilgili sorun, yalnızca güncellemeleri düzenli olarak yüklemeyen eski RHEL / CentOS ve Ubuntu şubelerinin kullanıcılarını etkiledi.
  • Grpc'deki sertifika doğrulama işlemi bozuk.
  • Cloudflare sayfa platformu oluşturulamadı.
  • Amazon Web Hizmetleri (AWS) sorunları.
  • DigitalOcean kullanıcıları veritabanına bağlanmada sorun yaşıyor.
  • Netlify bulut platformu hatası.
  • Xero hizmetlerine erişim sorunları.
  • MailGun Web API ile TLS bağlantısı kurma girişimi başarısız oldu.
  • Teorik olarak sorundan etkilenmemesi gereken macOS ve iOS sürümlerinde (11, 13, 14) hatalar.
  • Yakalama noktası hizmetleri hatası.
  • PostMan API'sine erişirken sertifikalar kontrol edilemedi.
  • Guardian Güvenlik Duvarı çöktü.
  • monday.com destek sayfasında kesinti.
  • Cerb platformunda çökme.
  • Google Cloud Monitoring'de çalışma süresi doğrulanamıyor.
  • Cisco Umbrella Secure Web Gateway'de sertifika doğrulama sorunu.
  • Bluecoat ve Palo Alto proxy'lerine bağlanma sorunları.
  • OVHcloud, OpenStack API'sine bağlanmada sorun yaşıyor.
  • Shopify'da rapor oluşturma sorunları.
  • Heroku API'sine erişimde sorunlar var.
  • Ledger Live Manager'da kilitlenme.
  • Facebook uygulama geliştirme araçlarında sertifika doğrulama hatası.
  • Sophos SG UTM'deki sorunlar.
  • cPanel'de sertifika doğrulama ile ilgili sorunlar.

Alternatif bir çözüm olarak, «DST Root CA X3» sertifikasının silinmesi önerilmektedir. sistem deposundan (/etc/ca-certificates.conf ve / etc / ssl / certs) ve ardından "update-ca -ificates -f -v" komutunu çalıştırın).

CentOS ve RHEL'de "DST Root CA X3" sertifikasını kara listeye ekleyebilirsiniz.


Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: AB Internet Networks 2008 SL
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.