昨天 我們在博客上分享新聞 用於簽署 Let's Encrypt CA 證書的 IdenTrust 證書(DST Root CA X3)終止導致使用舊版本 OpenSSL 和 GnuTLS 的項目中 Let's Encrypt 證書驗證出現問題。
這些問題也影響了 LibreSSL 庫, 其開發人員沒有考慮與 Sectigo (Comodo) 證書頒發機構的 AddTrust 根證書過期後發生的崩潰相關的過去經驗。
它 在 1.0.2 及以下的 OpenSSL 版本和 3.6.14 之前的 GnuTLS 中,發生錯誤 如果用於簽名的根證書之一過期,即使保留了其他有效的根證書,它也不允許正確處理交叉簽名的證書。
錯誤的實質是之前版本的OpenSSL和GnuTLS將證書解析為線性鏈, 而根據 RFC 4158,證書可以表示具有必須考慮的各種信任錨的有向分佈式餅圖。
與此同時 OpenBSD 項目今天緊急發布了 6.8 和 6.9 分支的補丁, 通過交叉簽名證書驗證修復 LibreSSL 中的問題,信任鏈中的根證書之一已過期。 作為問題的解決方案,建議在 /etc/installurl 中,從 HTTPS 切換到 HTTP(這不會威脅到安全,因為更新會額外通過數字簽名進行驗證)或選擇替代鏡像(ftp.usa.openbsd.org) 、ftp.hostserver.de、cdn.openbsd .org)。
還 可以刪除過期的 DST Root CA X3 證書 來自 /etc/ssl/cert.pem 文件,並且用於安裝二進制系統更新的 syspatch 實用程序已停止在 OpenBSD 上工作。
使用 DPorts 時會出現類似的 DragonFly BSD 問題。 啟動 pkg 包管理器時,會生成證書驗證錯誤。 今天已將修復添加到主分支 DragonFly_RELEASE_6_0 和 DragonFly_RELEASE_5_8。 作為解決方法,您可以刪除 DST Root CA X3 證書。
發生的一些故障 IdenTrust 證書被取消後如下:
- Let's Encrypt 證書驗證過程在基於 Electron 平台的應用程序中被中斷。 此問題已在更新 12.2.1、13.5.1、14.1.0、15.1.0 中修復。
- 使用舊版 GnuTLS 庫中包含的 APT 包管理器時,某些發行版無法訪問包存儲庫。
- Debian 9 受到未打補丁的 GnuTLS 軟件包的影響,導致未按時安裝更新的用戶訪問 deb.debian.org 出現問題(修復 gnutls28-3.5.8-5 + deb9u6 於 17 月 XNUMX 日提出)。
- acme客戶端在OPNsense上崩潰,問題提前報告,但開發者未能及時發布補丁。
- 該問題影響了 RHEL / CentOS 1.0.2 上的 OpenSSL 7k 軟件包,但一周前對於 RHEL 7 和 CentOS 7,生成了 ca-certificate-2021.2.50-72.el7_9.noarch 軟件包的更新,從中IdenTrust 證書被刪除,即問題的表現被預先阻止。
- 由於更新較早發布,Let's Encrypt 證書驗證問題僅影響舊 RHEL / CentOS 和 Ubuntu 分支的用戶,這些用戶不定期安裝更新。
- grpc 中的證書驗證過程已損壞。
- 未能創建 Cloudflare 頁面平台。
- 亞馬遜網絡服務 (AWS) 問題。
- DigitalOcean 用戶無法連接到數據庫。
- Netlify 雲平台故障。
- 訪問 Xero 服務時出現問題。
- 嘗試與 MailGun Web API 建立 TLS 連接失敗。
- macOS 和 iOS 版本(11、13、14)中的錯誤,理論上應該不會受到問題的影響。
- Catchpoint 服務失敗。
- 訪問 PostMan API 時無法檢查證書。
- Guardian 防火牆崩潰了。
- monday.com 支持頁面中斷。
- Cerb 平台上的崩潰。
- 無法在 Google Cloud Monitoring 中驗證正常運行時間。
- Cisco Umbrella 安全 Web 網關上的證書驗證問題。
- 連接到 Bluecoat 和 Palo Alto 代理的問題。
- OVHcloud 無法連接到 OpenStack API。
- 在 Shopify 中生成報告時出現問題。
- 訪問 Heroku API 時出現問題。
- Ledger Live Manager 中的崩潰。
- Facebook 應用程序開發工具中的證書驗證錯誤。
- Sophos SG UTM 中的問題。
- cPanel 中的證書驗證問題。
作為替代解決方案,建議刪除證書«DST Root CA X3» 從系統存儲(/etc/ca-certificates.conf 和/etc/ssl/certs)然後運行命令“update-ca -ificates -f -v”)。
在 CentOS 和 RHEL 上,您可以將“DST Root CA X3”證書添加到黑名單中。