Сбои в OpenBSD, DragonFly BSD и Electron из-за устаревания корневого сертификата IdenTrust

Пятница, 1 октября 2021 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Прекращение действия корневого сертификата компании IdenTrust (DST Root CA X3), используемого для кросс-подписи корневого сертификата удостоверяющего центра Let’s Encrypt, привело к возникновению проблем с проверкой сертификатов Let’s Encrypt в проектах, использующих старые версии OpenSSL и GnuTLS. Проблемы также затронули библиотеку LibreSSL, разработчики которой не учли прошлый опыт, связанный со сбоями, возникшими после устаревания корневого сертификата AddTrust удостоверяющего центра Sectigo (Comodo).

Напомним, что в выпусках OpenSSL до ветки 1.0.2 включительно и в GnuTLS до выпуска 3.6.14, присутствовала ошибка, не позволявшая корректно обработать перекрёстно-подписанные сертификаты, в случае устаревания одного из корневых сертификатов, задействованных при подписи, даже если сохранялись другие действующие цепочки доверия (в случае Let’s Encrypt устаревание корневого сертификата IdenTrust не позволяет выполнить проверку, даже если в системе имеется поддержка собственного корневого сертификата Let’s Encrypt, действующего до 2030 года). Суть ошибки в том, что старые версии OpenSSL и GnuTLS разбирали сертификат как линейную цепочку, в то время как в соответствии с RFC 4158 сертификат может представлять ориентированный распределённый циклический граф с несколькими якорями доверия, которые нужно учитывать.

В качестве обходного пути устранения сбоя предлагается удалить из системного хранилища (/etc/ca-certificates.conf и /etc/ssl/certs) сертификат «DST Root CA X3», после чего запустить команду «update-ca-certificates -f -v»). В CentOS и RHEL можно добавить добавить сертификат «DST Root CA X3» в чёрный список:

trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem sudo update-ca-trust extract

Некоторые из попавшихся, а глаза сбоев, возникших после прекращения действия корневого сертификата IdenTrust:



В OpenBSD перестала работать утилита syspatch, применяемая для установки бинарных обновлений системы. Проект OpenBSD выпустил патчи для веток 6.8 и 6.9, устраняющие в LibreSSL проблемы с проверкой перекрёстно подписанных сертификатов, один из корневых сертификатов в цепочке доверия у которых просрочен. В качестве обходного решения проблемы рекомендовано в /etc/installurl переключиться с HTTPS на HTTP (пакеты дополнительно верифицируются по цифровой подписи) или выбрать альтернативное зеркало (ftp.usa.openbsd.org, ftp.hostserver.de, cdn.openbsd.org). Также можно удалить просроченный корневой сертификат DST Root CA X3 из файла /etc/ssl/cert.pem.


В DragonFly BSD аналогичные проблемы наблюдаются при работе с DPorts. При запуске пакетного менеджера pkg выдаётся ошибка проверки сертификата. Исправление добавлено в ветки master, DragonFly_RELEASE_6_0 и DragonFly_RELEASE_5_8. В качестве обходного пути можно удалить сертификат DST Root CA X3.


Нарушен процесс проверки сертификатов Let’s Encrypt в приложениях на базе платформы Electron. Проблема устранена в обновлениях 12.2.1, 13.5.1, 14.1.0, 15.1.0.


В некоторых дистрибутивах наблюдаются проблемы с доступом к репозиториям пакетов при использовании пакетного менеджера APT, связанного со старыми версиями библиотеки GnuTLS. Проблеме оказался подвержен Debian 9, в котором применялся неисправленный пакет GnuTLS, что привело к проблемам при обращении к deb.debian.org. В качестве обходного пути решения проблеме рекомендовано удалить DST_Root_CA_X3.crt из файла /etc/ca-certificates.conf.


Нарушена работа acme-client в дистрибутиве для создания межсетевых экранов OPNsense, о проблеме было сообщено заранее, но разработчики не успели вовремя выпустить патч.


Проблема затрагивала пакет OpenSSL 1.0.2k в RHEL/CentOS 7. Неделю назад для RHEL 7 и CentOS 7 было сформировано обновление пакета ca-certificates-2021.2.50–72.el7_9.noarch, из которого удалён сертификат IdenTrust. Аналогичное обновление заранее было опубликовано для Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 и Ubuntu 18.04. Проблема с проверкой сертификатов Let’s Encrypt может коснуться пользователей RHEL/CentOS и Ubuntu, устанавливающих обновления не регулярно.


Нарушен процесс проверки сертификатов в grpc.
Сбой при сборке платформы Cloudflare Pages.
Проблемы в Amazon Web Services (AWS).


Проблемы с подсоединением к БД у пользователей DigitalOcean.


Сбой в работе облачной платформы Netlify.


Проблемы с доступом к сервисам Xero.
Сбой при попытке установить TLS-соединение к Web API сервиса MailGun.


Сбои в версиях macOS и iOS (11, 13, 14), которые теоретические проблема не должна была затронуть.
Сбой в сервисах Catchpoint.


Ошибка проверки сертификатов при доступе к API PostMan.
Сбой в работе Guardian Firewall.


Нарушение работы страницы поддержки monday.com.


Сбой в работе платформы Cerb.


Сбой при проверки uptime в Google Cloud Monitoring.


В OVHcloud возникли проблемы с подключением к OpenStack API.
Проблемы с генерацией отчётов в Shopify.
Наблюдаются проблемы при обращении к API Heroku.


Сбой в работе Ledger Live Manager.


Ошибка проверки сертификата в инструментах для разработчиков приложений для Facebook.
Проблемы в Sophos SG UTM.
Проблемы с проверкой сертификатов в cPanel.

Источник: http://www.opennet.ru/opennews/art.shtml? num=55897

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 526
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003