完成DST Root CA X3证书产生的问题已经开始

Darkcrizt

4分钟

昨天 我们在博客上分享新闻 用于签署 Let's Encrypt CA 证书的 IdenTrust 证书(DST Root CA X3)终止导致使用旧版本 OpenSSL 和 GnuTLS 的项目中 Let's Encrypt 证书验证出现问题。

这些问题也影响了 LibreSSL 库, 其开发人员没有考虑与 Sectigo (Comodo) 证书颁发机构的 AddTrust 根证书过期后发生的崩溃相关的过去经验。

在 1.0.2 及以下的 OpenSSL 版本和 3.6.14 之前的 GnuTLS 中,发生错误 如果用于签名的根证书之一过期,即使保留了其他有效的根证书,它也不允许正确处理交叉签名的证书。

 错误的本质是之前版本的OpenSSL和GnuTLS将证书解析为线性链, 而根据 RFC 4158,证书可以表示具有必须考虑的各种信任锚的有向分布式饼图。

与此同时 OpenBSD 项目今天紧急发布了 6.8 和 6.9 分支的补丁, 通过交叉签名证书验证修复 LibreSSL 中的问题,信任链中的根证书之一已过期。 作为问题的解决方案,建议在 /etc/installurl 中,从 HTTPS 切换到 HTTP(这不会威胁到安全,因为更新会额外通过数字签名进行验证)或选择替代镜像(ftp.usa.openbsd.org) 、ftp.hostserver.de、cdn.openbsd .org)。

可以删除过期的 DST Root CA X3 证书 来自 /etc/ssl/cert.pem 文件,并且用于安装二进制系统更新的 syspatch 实用程序已停止在 OpenBSD 上工作。

使用 DPorts 时会出现类似的 DragonFly BSD 问题。 启动 pkg 包管理器时,会生成证书验证错误。 今天已将修复添加到主分支 DragonFly_RELEASE_6_0 和 DragonFly_RELEASE_5_8。 作为解决方法,您可以删除 DST Root CA X3 证书。

发生的一些故障 IdenTrust 证书被取消后如下:

  • Let's Encrypt 证书验证过程已在基于 Electron 平台的应用程序中中断。 此问题已在更新 12.2.1、13.5.1、14.1.0、15.1.0 中修复。
  • 使用旧版 GnuTLS 库中包含的 APT 包管理器时,某些发行版无法访问包存储库。
  • Debian 9 受到未打补丁的 GnuTLS 软件包的影响,导致未及时安装更新的用户无法访问 deb.debian.org(修复 gnutls28-3.5.8-5 + deb9u6 于 17 月 XNUMX 日提出)。
  • acme客户端在OPNsense上崩溃,问题提前报告,但开发者未能及时发布补丁。
  • 该问题影响了 RHEL / CentOS 1.0.2 上的 OpenSSL 7k 软件包,但一周前对于 RHEL 7 和 CentOS 7,生成了 ca-certificate-2021.2.50-72.el7_9.noarch 软件包的更新,从中IdenTrust 证书被删除,即问题的表现被预先阻止。
  • 由于更新较早发布,Let's Encrypt 证书验证问题仅影响旧 RHEL / CentOS 和 Ubuntu 分支的用户,这些用户不定期安装更新。
  • grpc 中的证书验证过程已损坏。
  • 未能创建 Cloudflare 页面平台。
  • 亚马逊网络服务 (AWS) 问题。
  • DigitalOcean 用户无法连接到数据库。
  • Netlify 云平台故障。
  • 访问 Xero 服务时出现问题。
  • 尝试与 MailGun Web API 建立 TLS 连接失败。
  • macOS 和 iOS 版本(11、13、14)中的错误,理论上应该不会受到问题的影响。
  • Catchpoint 服务失败。
  • 访问 PostMan API 时无法检查证书。
  • Guardian 防火墙崩溃了。
  • monday.com 支持页面中断。
  • Cerb 平台上的崩溃。
  • 无法在 Google Cloud Monitoring 中验证正常运行时间。
  • Cisco Umbrella 安全 Web 网关上的证书验证问题。
  • 连接到 Bluecoat 和 Palo Alto 代理的问题。
  • OVHcloud 无法连接到 OpenStack API。
  • 在 Shopify 中生成报告时出现问题。
  • 访问 Heroku API 时出现问题。
  • Ledger Live Manager 中的崩溃。
  • Facebook 应用程序开发工具中的证书验证错误。
  • Sophos SG UTM 中的问题。
  • cPanel 中的证书验证问题。

作为替代解决方案,建议删除证书«DST Root CA X3» 从系统存储(/etc/ca-certificates.conf 和/etc/ssl/certs),然后运行命令“update-ca -ificates -f -v”)。

在 CentOS 和 RHEL 上,您可以将“DST Root CA X3”证书添加到黑名单中。


发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责资料:AB Internet Networks 2008 SL
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。