Linux Adictos Darkcrizt  

Ya iniciaron los problemas generados por la finalización del certificado DST Root CA X3

El día de ayer compartimos aquí en el blog la noticia sobre la terminación del certificado IdenTrust (DST Root CA X3) utilizado para firmar el certificado Let’s Encrypt CA ha provocado problemas con la validación del certificado Let’s Encrypt en proyectos que utilizan versiones anteriores de OpenSSL y GnuTLS.

Los problemas también afectaron a la biblioteca LibreSSL, cuyos desarrolladores no tuvieron en cuenta la experiencia pasada relacionada con fallas que ocurrieron después de que expiró el certificado raíz AddTrust de la autoridad de certificación Sectigo (Comodo).

Y es que en las versiones OpenSSL hasta la 1.0.2 incluida y en GnuTLS anteriores a la 3.6.14, se produjo un error que no permitía el procesamiento correcto de los certificados con firma cruzada si uno de los certificados root utilizados para la firma vencía, incluso si se mantuvieron otras válidas.

 La esencia del error es que las versiones anteriores de OpenSSL y GnuTLS analizaron el certificado como una cadena lineal, mientras que según RFC 4158, un certificado puede representar un gráfico circular distribuido dirigido con varios anclajes de confianza que deben tenerse en cuenta.

Por su parte el proyecto OpenBSD lanzó con urgencia parches para las ramas 6.8 y 6.9 hoy, que solucionan problemas en LibreSSL con la verificación de certificados con firma cruzada, uno de los certificados raíz en la cadena de confianza ha expirado. Como solución al problema, se recomienda en /etc /installurl, se cambie de HTTPS a HTTP (esto no amenaza la seguridad, ya que las actualizaciones se verifican adicionalmente mediante firma digital) o seleccione un espejo alternativo (ftp.usa.openbsd.org, ftp.hostserver.de, cdn.openbsd .org).

También se puede eliminar el certificado DST Root CA X3 caducado del archivo /etc/ssl/cert.pem, además de que la utilidad syspatch utilizada para instalar actualizaciones del sistema binario ha dejado de funcionar en OpenBSD.

Los problemas similares de DragonFly BSD ocurren cuando se trabaja con DPorts. Al iniciar el administrador de paquetes pkg, se genera un error de validación del certificado. La corrección se ha agregado a las ramas maestras, DragonFly_RELEASE_6_0 y DragonFly_RELEASE_5_8 hoy. Como solución alternativa, puede eliminar el certificado DST Root CA X3.

Algunas de las fallas que ocurrieron después de que se canceló el certificado de IdenTrust fueron las siguientes:

  • Se ha interrumpido el proceso de comprobación de los certificados Let’s Encrypt en aplicaciones basadas en la plataforma Electron. Este problema se solucionó en las actualizaciones 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Algunas distribuciones tienen problemas para acceder a los repositorios de paquetes cuando se usa el administrador de paquetes APT incluido con versiones anteriores de la biblioteca GnuTLS.
  • Debian 9 se vio afectado por el paquete GnuTLS sin parches, lo que provocó problemas para acceder a deb.debian.org para los usuarios que no instalaron las actualizaciones a tiempo (la solución gnutls28-3.5.8-5 + deb9u6 se propuso el 17 de septiembre).
  • El cliente acme se rompió en OPNsense, el problema se informó con anticipación, pero los desarrolladores no lograron lanzar el parche a tiempo.
  • El problema afectó al paquete OpenSSL 1.0.2k en RHEL/CentOS 7, pero hace una semana para RHEL 7 y CentOS 7, se generó una actualización del paquete ca-certificate-2021.2.50-72.el7_9.noarch, a partir del cual se generó el Se eliminó el certificado IdenTrust, es decir la manifestación del problema fue bloqueada de antemano.
  • Dado que las actualizaciones se publicaron con anticipación, el problema con la verificación de los certificados Let’s Encrypt afectó solo a los usuarios de las antiguas ramas RHEL/CentOS y Ubuntu, que no instalan actualizaciones con regularidad.
  • El proceso de verificación de certificados en grpc está roto.
  • Fallo al crear la plataforma de páginas de Cloudflare.
  • Problemas de Amazon Web Services (AWS).
  • Los usuarios de DigitalOcean tienen problemas para conectarse a la base de datos.
  • Fallo en la plataforma en la nube Netlify.
  • Problemas para acceder a los servicios de Xero.
  • Falló un intento de establecer una conexión TLS con la API web de MailGun.
  • Fallos en las versiones de macOS e iOS (11, 13, 14), que teóricamente no deberían haber sido afectados por el problema.
  • Fallo en los servicios de Catchpoint.
  • Error al comprobar los certificados al acceder a la API de PostMan.
  • The Guardian Firewall se bloqueó.
  • Interrupción en la página de soporte de monday.com.
  • Choque en la plataforma Cerb.
  • No se pudo verificar el tiempo de actividad en Google Cloud Monitoring.
  • Problema con la validación de certificados en Cisco Umbrella Secure Web Gateway.
  • Problemas para conectarse a los proxies de Bluecoat y Palo Alto.
  • OVHcloud tiene problemas para conectarse a la API de OpenStack.
  • Problemas para generar informes en Shopify.
  • Hay problemas al acceder a la API de Heroku.
  • Bloqueo en Ledger Live Manager.
  • Error de validación de certificado en las herramientas de desarrollo de aplicaciones de Facebook.
  • Problemas en Sophos SG UTM.
  • Problemas con la verificación de certificados en cPanel.

Como solución alternativa, se propone eliminar el certificado «DST Root CA X3» del almacén del sistema (/etc/ca-certificates.conf y /etc/ssl/certs) y luego ejecutar el comando «update-ca -ificates -f -v «).

En CentOS y RHEL, puede agregar el certificado «DST Root CA X3» a la lista negra.

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.