Các sự cố tạo ra khi hoàn thành chứng chỉ DST Root CA X3 đã bắt đầu

Darkcrizt

4 phút

Hôm qua chúng tôi chia sẻ tin tức ở đây trên blog về việc chấm dứt chứng chỉ IdenTrust (DST Root CA X3) được sử dụng để ký chứng chỉ Let's Encrypt CA đã gây ra sự cố với xác thực chứng chỉ Let's Encrypt trong các dự án sử dụng phiên bản OpenSSL và GnuTLS cũ hơn.

Các vấn đề cũng ảnh hưởng đến thư viện LibreSSL, mà các nhà phát triển đã không tính đến trải nghiệm trong quá khứ liên quan đến sự cố xảy ra sau khi chứng chỉ gốc AddTrust của cơ quan cấp chứng chỉ Sectigo (Comodo) hết hạn.

Và đó là trong các phiên bản OpenSSL lên đến và bao gồm 1.0.2 và trong GnuTLS trước 3.6.14, đã xảy ra lỗi rằng nó không cho phép xử lý chính xác các chứng chỉ được ký chéo nếu một trong các chứng chỉ gốc được sử dụng để ký đã hết hạn, ngay cả khi các chứng chỉ hợp lệ khác được giữ lại.

 Ý chính của lỗi là các phiên bản trước của OpenSSL và GnuTLS đã phân tích cú pháp chứng chỉ dưới dạng một chuỗi tuyến tính, trong khi theo RFC 4158, chứng chỉ có thể đại diện cho một biểu đồ hình tròn được phân phối có hướng với các neo tin cậy khác nhau phải được tính đến.

Trong khi đó dự án OpenBSD đã khẩn cấp phát hành các bản vá cho các nhánh 6.8 và 6.9 ngay hôm nay, khắc phục sự cố trong LibreSSL với xác minh chứng chỉ được ký chéo, một trong những chứng chỉ gốc trong chuỗi tin cậy đã hết hạn. Như một giải pháp cho vấn đề, trong / etc / installurl, bạn nên chuyển từ HTTPS sang HTTP (điều này không đe dọa đến bảo mật, vì các bản cập nhật được xác minh thêm bằng chữ ký số) hoặc chọn một máy nhân bản thay thế (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd .org).

cũng Chứng chỉ DST Root CA X3 hết hạn có thể bị xóa từ tệp /etc/ssl/cert.pem và tiện ích syspatch được sử dụng để cài đặt các bản cập nhật hệ thống nhị phân đã ngừng hoạt động trên OpenBSD.

Các vấn đề BSD DragonFly tương tự xảy ra khi làm việc với DPorts. Khi khởi động trình quản lý gói pkg, lỗi xác thực chứng chỉ được tạo ra. Bản sửa lỗi đã được thêm vào các nhánh chính, DragonFly_RELEASE_6_0 và DragonFly_RELEASE_5_8 hôm nay. Để giải quyết vấn đề, bạn có thể xóa chứng chỉ DST Root CA X3.

Một số lỗi đã xảy ra sau khi chứng chỉ IdenTrust bị hủy như sau:

  • Quá trình xác minh chứng chỉ Let's Encrypt đã bị gián đoạn trong các ứng dụng dựa trên nền tảng Electron. Sự cố này đã được khắc phục trong các bản cập nhật 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Một số bản phân phối gặp sự cố khi truy cập kho lưu trữ gói khi sử dụng trình quản lý gói APT được bao gồm trong các phiên bản cũ hơn của thư viện GnuTLS.
  • Debian 9 bị ảnh hưởng bởi gói GnuTLS chưa được vá, gây ra sự cố khi truy cập deb.debian.org cho những người dùng không cài đặt bản cập nhật kịp thời (bản sửa lỗi gnutls28-3.5.8-5 + deb9u6 được đề xuất vào ngày 17 tháng XNUMX).
  • Ứng dụng khách acme đã bị lỗi trên OPNsense, sự cố đã được báo cáo trước thời hạn, nhưng các nhà phát triển đã không phát hành bản vá kịp thời.
  • Sự cố đã ảnh hưởng đến gói OpenSSL 1.0.2k trên RHEL / CentOS 7, nhưng một tuần trước đối với RHEL 7 và CentOS 7, bản cập nhật cho gói ca-certificate-2021.2.50-72.el7_9.noarch đã được tạo, từ đó The Chứng chỉ IdenTrust đã bị xóa, tức là biểu hiện của sự cố đã bị chặn từ trước.
  • Vì các bản cập nhật được phát hành sớm nên sự cố với xác minh chứng chỉ Let's Encrypt chỉ ảnh hưởng đến người dùng của các nhánh RHEL / CentOS và Ubuntu cũ, những người không cài đặt bản cập nhật thường xuyên.
  • Quá trình xác minh chứng chỉ trong grpc bị hỏng.
  • Không thể tạo nền tảng trang Cloudflare.
  • Các vấn đề về Dịch vụ Web của Amazon (AWS).
  • Người dùng DigitalOcean đang gặp sự cố khi kết nối với cơ sở dữ liệu.
  • Lỗi nền tảng đám mây Netlify.
  • Sự cố khi truy cập dịch vụ Xero.
  • Không thể thiết lập kết nối TLS với API Web MailGun.
  • Lỗi trong các phiên bản macOS và iOS (11, 13, 14), về mặt lý thuyết không nên bị ảnh hưởng bởi sự cố.
  • Lỗi dịch vụ điểm bắt.
  • Không thể kiểm tra chứng chỉ khi truy cập API PostMan.
  • The Guardian Firewall bị sập.
  • Sự gián đoạn trên trang hỗ trợ monday.com.
  • Sự cố trên nền tảng Cerb.
  • Không thể xác minh thời gian hoạt động trong Giám sát đám mây của Google.
  • Vấn đề với xác thực chứng chỉ trên Cổng Web Bảo mật của Cisco Umbrella.
  • Sự cố khi kết nối với proxy Bluecoat và Palo Alto.
  • OVHcloud đang gặp sự cố khi kết nối với API OpenStack.
  • Sự cố khi tạo báo cáo trong Shopify.
  • Đã xảy ra sự cố khi truy cập API Heroku.
  • Sự cố trong Trình quản lý trực tiếp Ledger.
  • Lỗi xác thực chứng chỉ trong các công cụ phát triển ứng dụng của Facebook.
  • Sự cố trong Sophos SG UTM.
  • Sự cố với xác minh chứng chỉ trong cPanel.

Là một giải pháp thay thế, đề xuất xóa chứng chỉ «DST Root CA X3» từ cửa hàng hệ thống (/etc/ca-certificates.conf và / etc / ssl / certs) và sau đó chạy lệnh "update-ca -ificates -f -v").

Trên CentOS và RHEL, bạn có thể thêm chứng chỉ "DST Root CA X3" vào danh sách đen.


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: AB Internet Networks 2008 SL
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.