Сбои в OpenBSD, DragonFly BSD и Electron из-за устаревания корневого сертификата IdenTrust
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Прекращение действия корневого сертификата компании IdenTrust (DST Root CA X3), используемого для кросс-подписи корневого сертификата удостоверяющего центра Let's Encrypt, привело к возникновению проблем с проверкой сертификатов Let's Encrypt в проектах, использующих старые версии OpenSSL и GnuTLS. Проблемы также затронули библиотеку LibreSSL, разработчики которой не учли прошлый опыт, связанный со сбоями, возникшими после устаревания корневого сертификата AddTrust удостоверяющего центра Sectigo (Comodo).
Напомним, что в выпусках OpenSSL до ветки 1.0.2 включительно и в GnuTLS до выпуска 3.6.14, присутствовала ошибка, не позволявшая корректно обработать перекрёстно-подписанные сертификаты, в случае устаревания одного из корневых сертификатов, задействованных при подписи, даже если сохранялись другие действующие цепочки доверия (в случае Let's Encrypt устаревание корневого сертификата IdenTrust не позволяет выполнить проверку, даже если в системе имеется поддержка собственного корневого сертификата Let's Encrypt, действующего до 2030 года). Суть ошибки в том, что старые версии OpenSSL и GnuTLS разбирали сертификат как линейную цепочку, в то время как в соответствии с RFC 4158 сертификат может представлять ориентированный распределённый циклический граф с несколькими якорями доверия, которые нужно учитывать.
В качестве обходного пути устранения сбоя предлагается удалить из системного хранилища (/etc/ca-certificates.conf и /etc/ssl/certs) сертификат "DST Root CA X3", после чего запустить команду "update-ca-certificates -f -v"). В CentOS и RHEL можно добавить сертификат "DST Root CA X3" в чёрный список:
trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem
sudo update-ca-trust extract
Некоторые из попавшихся на глаза сбоев, возникших после прекращения действия корневого сертификата IdenTrust:
- В OpenBSD перестала работать утилита syspatch, применяемая для установки бинарных обновлений системы. Проект OpenBSD выпустил патчи для веток 6.8 и 6.9, устраняющие в LibreSSL проблемы с проверкой перекрёстно подписанных сертификатов, один из корневых сертификатов в цепочке доверия у которых просрочен. В качестве обходного решения проблемы рекомендовано в /etc/installurl переключиться с HTTPS на HTTP (безопасности это не угрожает, так как обновления дополнительно верифицируются по цифровой подписи) или выбрать альтернативное зеркало (ftp.usa.openbsd.org, ftp.hostserver.de,
cdn.openbsd.org). Также можно удалить просроченный корневой сертификат DST Root CA X3 из файла /etc/ssl/cert.pem.
- В DragonFly BSD аналогичные проблемы наблюдаются при работе с DPorts. При запуске пакетного менеджера pkg выдаётся ошибка проверки сертификата. Исправление добавлено в ветки
master, DragonFly_RELEASE_6_0 и
DragonFly_RELEASE_5_8. В качестве обходного пути можно удалить сертификат DST Root CA X3.
- Нарушен процесс проверки сертификатов Let's Encrypt в приложениях на базе платформы Electron. Проблема устранена в обновлениях 12.2.1, 13.5.1, 14.1.0, 15.1.0.
- В некоторых дистрибутивах наблюдаются проблемы с доступом к репозиториям пакетов при использовании пакетного менеджера APT, связанного со старыми версиями библиотеки GnuTLS.
Проблеме оказался
подвержен Debian 9, в котором применялся неисправленный пакет GnuTLS, что привело к проблемам при обращении к deb.debian.org. В качестве обходного пути решения проблеме рекомендовано удалить DST_Root_CA_X3.crt из файла /etc/ca-certificates.conf.
- Нарушена работа acme-client в дистрибутиве для создания межсетевых экранов OPNsense, о проблеме было сообщено заранее, но разработчики
не успели вовремя выпустить патч.
- Проблема затрагивала пакет OpenSSL 1.0.2k в RHEL/CentOS 7. Неделю назад для RHEL 7 и CentOS 7 было сформировано обновление пакета ca-certificates-2021.2.50-72.el7_9.noarch, из которого удалён сертификат IdenTrust.
Аналогичное обновление заранее было опубликовано для Ubuntu 16.04, Ubuntu 14.04, Ubuntu 21.04, Ubuntu 20.04 и Ubuntu 18.04. Проблема с проверкой сертификатов Let's Encrypt может коснуться пользователей RHEL/CentOS и Ubuntu, устанавливающих обновления не регулярно.
- Нарушен процесс проверки сертификатов в grpc.
- Сбой при сборке платформы Cloudflare Pages.
- Проблемы в Amazon Web Services (AWS).
- Проблемы с подсоединением к БД у пользователей DigitalOcean.
- Сбой в работе облачной платформы Netlify.
- Проблемы с доступом к сервисам Xero.
- Сбой при попытке установить TLS-соединение к Web API сервиса MailGun.
- Сбои в версиях macOS и iOS (11, 13, 14), которые теоретические проблема не должна была затронуть.
- Сбой в
сервисах Catchpoint.
- Ошибка проверки сертификатов при доступе к API PostMan.
- Сбой в работе Guardian Firewall.
- Нарушение работы страницы поддержки monday.com.
- Сбой в работе платформы Cerb.
- Сбой при проверке uptime в Google Cloud Monitoring.
- Проблема с проверкой сертификатов в Cisco Umbrella Secure Web Gateway.
- Проблемы с подключением к прокси Bluecoat и Palo Alto.
- В OVHcloud возникли проблемы с подключением к OpenStack API.
- Проблемы с генерацией отчётов в Shopify.
- Наблюдаются проблемы при обращении к API Heroku.
- Сбой в работе Ledger Live Manager.
- Ошибка проверки сертификата в инструментах для разработчиков приложений для Facebook.
- Проблемы в Sophos SG UTM.
- Проблемы с проверкой сертификатов в cPanel.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://lists.dragonflybsd.org...)
- OpenNews: Устаревание корневого сертификата IdenTrust приведёт к потере доверия к Let's Encrypt на старых устройствах
- OpenNews: Устаревание корневого сертификата AddTrust привело к сбоям в системах с OpenSSL и GnuTLS
- OpenNews: Сертификаты Let's Encrypt перестанут восприниматься на 33% Android-устройств
- OpenNews: Let's Encrypt решил проблему с продолжением работы сертификатов на старых Android-устройствах
Похожие новости:
- Устаревание корневого сертификата IdenTrust приведёт к потере доверия к Let's Encrypt на старых устройствах
- [Научно-популярное, Физика, Мозг, Будущее здесь, Квантовые технологии] Квантовый процессор Google осознает себя? Почему квантмех и свобода воли (не) связаны, и почему это неочевидно
- [Информационная безопасность] Откручивание SLL пиннинга в Android приложениях
- [Научно-популярное, Физика, Квантовые технологии] Детерминизм vs. квантовая механика, или можно ли предсказывать будущее
- [IPv6] Моя индиана к HCIA
- [*nix, DevOps] Traefik, docker и docker registry
- [Информационная безопасность, Криптография, Python, C++, ООП] Поддержка токенов PKCS#11 с ГОСТ-криптографией в Python. Часть II — Обёртка PyKCS11
- Red Hat и Google представили Sigstore, сервис для криптографической верификации кода
- [Kubernetes] Мне повезло: нужно обновить сертификаты k8s v1.12.3
- [Управление проектами] PMP сертификация для project managers. Изменения в экзамене v.2021 (Личный опыт сдачи)
Теги для поиска: #_letsencrypt, #_cert, #_identrust
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 27-Апр 00:54
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
Прекращение действия корневого сертификата компании IdenTrust (DST Root CA X3), используемого для кросс-подписи корневого сертификата удостоверяющего центра Let's Encrypt, привело к возникновению проблем с проверкой сертификатов Let's Encrypt в проектах, использующих старые версии OpenSSL и GnuTLS. Проблемы также затронули библиотеку LibreSSL, разработчики которой не учли прошлый опыт, связанный со сбоями, возникшими после устаревания корневого сертификата AddTrust удостоверяющего центра Sectigo (Comodo). Напомним, что в выпусках OpenSSL до ветки 1.0.2 включительно и в GnuTLS до выпуска 3.6.14, присутствовала ошибка, не позволявшая корректно обработать перекрёстно-подписанные сертификаты, в случае устаревания одного из корневых сертификатов, задействованных при подписи, даже если сохранялись другие действующие цепочки доверия (в случае Let's Encrypt устаревание корневого сертификата IdenTrust не позволяет выполнить проверку, даже если в системе имеется поддержка собственного корневого сертификата Let's Encrypt, действующего до 2030 года). Суть ошибки в том, что старые версии OpenSSL и GnuTLS разбирали сертификат как линейную цепочку, в то время как в соответствии с RFC 4158 сертификат может представлять ориентированный распределённый циклический граф с несколькими якорями доверия, которые нужно учитывать. В качестве обходного пути устранения сбоя предлагается удалить из системного хранилища (/etc/ca-certificates.conf и /etc/ssl/certs) сертификат "DST Root CA X3", после чего запустить команду "update-ca-certificates -f -v"). В CentOS и RHEL можно добавить сертификат "DST Root CA X3" в чёрный список: trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem
sudo update-ca-trust extract
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 27-Апр 00:54
Часовой пояс: UTC + 5