完成DST Root CA X3證書產生的問題已經開始

昨天 我們在博客上分享新聞 用於簽署 Let's Encrypt CA 證書的 IdenTrust 證書(DST Root CA X3)終止導致使用舊版本 OpenSSL 和 GnuTLS 的項目中 Let's Encrypt 證書驗證出現問題。

這些問題也影響了 LibreSSL 庫, 其開發人員沒有考慮與 Sectigo (Comodo) 證書頒發機構的 AddTrust 根證書過期後發生的崩潰相關的過去經驗。

在 1.0.2 及以下的 OpenSSL 版本和 3.6.14 之前的 GnuTLS 中,發生錯誤 如果用於簽名的根證書之一過期,即使保留了其他有效的根證書,它也不允許正確處理交叉簽名的證書。

 錯誤的實質是之前版本的OpenSSL和GnuTLS將證書解析為線性鏈, 而根據 RFC 4158,證書可以表示具有必須考慮的各種信任錨的有向分佈式餅圖。

與此同時 OpenBSD 項目今天緊急發布了 6.8 和 6.9 分支的補丁, 通過交叉簽名證書驗證修復 LibreSSL 中的問題,信任鏈中的根證書之一已過期。 作為問題的解決方案,建議在 /etc/installurl 中,從 HTTPS 切換到 HTTP(這不會威脅到安全,因為更新會額外通過數字簽名進行驗證)或選擇替代鏡像(ftp.usa.openbsd.org) 、ftp.hostserver.de、cdn.openbsd .org)。

可以刪除過期的 DST Root CA X3 證書 來自 /etc/ssl/cert.pem 文件,並且用於安裝二進制系統更新的 syspatch 實用程序已停止在 OpenBSD 上工作。

使用 DPorts 時會出現類似的 DragonFly BSD 問題。 啟動 pkg 包管理器時,會生成證書驗證錯誤。 今天已將修復添加到主分支 DragonFly_RELEASE_6_0 和 DragonFly_RELEASE_5_8。 作為解決方法,您可以刪除 DST Root CA X3 證書。

發生的一些故障 IdenTrust 證書被取消後如下:

  • Let's Encrypt 證書驗證過程在基於 Electron 平台的應用程序中被中斷。 此問題已在更新 12.2.1、13.5.1、14.1.0、15.1.0 中修復。
  • 使用舊版 GnuTLS 庫中包含的 APT 包管理器時,某些發行版無法訪問包存儲庫。
  • Debian 9 受到未打補丁的 GnuTLS 軟件包的影響,導致未按時安裝更新的用戶訪問 deb.debian.org 出現問題(修復 gnutls28-3.5.8-5 + deb9u6 於 17 月 XNUMX 日提出)。
  • acme客戶端在OPNsense上崩潰,問題提前報告,但開發者未能及時發布補丁。
  • 該問題影響了 RHEL / CentOS 1.0.2 上的 OpenSSL 7k 軟件包,但一周前對於 RHEL 7 和 CentOS 7,生成了 ca-certificate-2021.2.50-72.el7_9.noarch 軟件包的更新,從中IdenTrust 證書被刪除,即問題的表現被預先阻止。
  • 由於更新較早發布,Let's Encrypt 證書驗證問題僅影響舊 RHEL / CentOS 和 Ubuntu 分支的用戶,這些用戶不定期安裝更新。
  • grpc 中的證書驗證過程已損壞。
  • 未能創建 Cloudflare 頁面平台。
  • 亞馬遜網絡服務 (AWS) 問題。
  • DigitalOcean 用戶無法連接到數據庫。
  • Netlify 雲平台故障。
  • 訪問 Xero 服務時出現問題。
  • 嘗試與 MailGun Web API 建立 TLS 連接失敗。
  • macOS 和 iOS 版本(11、13、14)中的錯誤,理論上應該不會受到問題的影響。
  • Catchpoint 服務失敗。
  • 訪問 PostMan API 時無法檢查證書。
  • Guardian 防火牆崩潰了。
  • monday.com 支持頁面中斷。
  • Cerb 平台上的崩潰。
  • 無法在 Google Cloud Monitoring 中驗證正常運行時間。
  • Cisco Umbrella 安全 Web 網關上的證書驗證問題。
  • 連接到 Bluecoat 和 Palo Alto 代理的問題。
  • OVHcloud 無法連接到 OpenStack API。
  • 在 Shopify 中生成報告時出現問題。
  • 訪問 Heroku API 時出現問題。
  • Ledger Live Manager 中的崩潰。
  • Facebook 應用程序開發工具中的證書驗證錯誤。
  • Sophos SG UTM 中的問題。
  • cPanel 中的證書驗證問題。

作為替代解決方案,建議刪除證書«DST Root CA X3» 從系統存儲(/etc/ca-certificates.conf 和/etc/ssl/certs)然後運行命令“update-ca -ificates -f -v”)。

在 CentOS 和 RHEL 上,您可以將“DST Root CA X3”證書添加到黑名單中。


發表您的評論

您的電子郵件地址將不會被發表。 必填字段標有 *

*

*

  1. 負責資料:AB Internet Networks 2008 SL
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。