Problemas gerados pelo cancelamento do certificado DST Root CA X3 já começaram

Confira os detalhes sobre os problemas gerados pelo cancelamento do certificado DST Root CA X3, que já começaram a aparecer em diferentes locais.

Recentemente houve relato de que o cancelamento do certificado IdenTrust (DST Root CA X3) usado para assinar o certificado Let’s Encrypt CA causou problemas com a validação do certificado Let’s Encrypt em projetos que usam versões anteriores do OpenSSL e GnuTLS.

Infelizmente, esse parece ter sido apenas o primeiro de muitos problemas causados por essa cancelamento.

Problemas gerados pela conclusão do certificado DST Root CA X3 já começaram

Os problemas também afetaram a biblioteca LibreSSL, cujos desenvolvedores não levaram em consideração a experiência anterior relacionada a travamentos que ocorreram depois que o certificado raiz AddTrust da autoridade de certificação Sectigo (Comodo) expirou.

E é que nas versões OpenSSL até 1.0.2 incluídas e no GnuTLS antes de 3.6.14, ocorreu um erro que não permitiu o processamento correto de certificados assinados se um dos certificados raiz usados ​​para assinatura expirou, mesmo que outros válidos foram mantidos.

A essência do bug é que as versões anteriores do OpenSSL e GnuTLS analisavam o certificado como uma cadeia linear, enquanto de acordo com a RFC 4158, um certificado pode representar um gráfico de pizza distribuído direcionado com várias âncoras de confiança que precisam ser levadas em consideração.

Por sua vez, o projeto OpenBSD lançou com urgência patches para os branches 6.8 e 6.9 hoje, que corrigem problemas no LibreSSL com verificação de certificado de assinatura cruzada, um dos certificados raiz na cadeia de confiança expirou.

Como solução para o problema, é recomendado em /etc/installurl, mudar de HTTPS para HTTP (isso não ameaça a segurança, pois as atualizações são adicionalmente verificadas por assinatura digital) ou selecione um espelho alternativo (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd.org).

O certificado DST Root CA X3 expirado também pode ser removido do arquivo /etc/ssl/cert.pem, e o utilitário syspatch usado para instalar atualizações binárias do sistema parou de funcionar no OpenBSD.

Problemas similares do DragonFly BSD ocorrem ao trabalhar com DPorts. Ao iniciar o gerenciador de pacotes pkg, um erro de validação de certificado é gerado.

A correção foi adicionada aos branches master, DragonFly_RELEASE_6_0 e DragonFly_RELEASE_5_8 hoje. Como solução alternativa, você pode remover o certificado DST Root CA X3.

Algumas das falhas que ocorreram após o cancelamento do certificado IdenTrust foram as seguintes:

• O processo de verificação para certificados Let’s Encrypt em aplicativos baseados na plataforma Electron foi interrompido. Este problema foi corrigido nas atualizações 12.2.1, 13.5.1, 14.1.0, 15.1.0.
• Algumas distribuições têm problemas para acessar repositórios de pacotes ao usar o gerenciador de pacotes APT incluído com versões anteriores da biblioteca GnuTLS.
• Debian 9 se vio afectado por el paquete GnuTLS sin parches, lo que provocó problemas para acceder a deb.debian.org para los usuarios que no instalaron las actualizaciones a tiempo (la solución gnutls28-3.5.8-5 + deb9u6 se propuso el 17 de setembro).
• O cliente acme quebrou no OPNsense, o problema foi relatado com antecedência, mas os desenvolvedores não conseguiram lançar o patch a tempo.
• O problema afetou o pacote OpenSSL 1.0.2k no RHEL/CentOS 7, mas uma semana atrás para RHEL 7 e CentOS 7, uma atualização para o pacote ca-certificate-2021.2.50-72.el7_9.noarch foi gerado, a partir do qual o O certificado IdenTrust foi excluído, ou seja, a manifestação do problema foi bloqueada anteriormente.
• Como as atualizações foram lançadas com antecedência, o problema com a verificação dos certificados Let’s Encrypt afetou apenas os usuários dos antigos RHEL/CentOS e branches do Ubuntu, que não instalam atualizações regularmente.
• O processo de verificação de certificado no grpc está quebrado.
• Falha ao criar plataforma de página Cloudflare.
• Problemas do Amazon Web Services (AWS).
• Os usuários do DigitalOcean estão tendo problemas para se conectar ao banco de dados.
• Falha da plataforma de nuvem Netlify.
• Problemas para acessar os serviços Xero.
• Uma tentativa de estabelecer uma conexão TLS com a API da Web MailGun falhou.
• Bugs nas versões macOS e iOS (11, 13, 14), que teoricamente não deveriam ter sido afetados pelo problema.
• Falha nos serviços de ponto de captura.
• Falha ao verificar os certificados ao acessar a API PostMan.
• O Guardian Firewall travou.
• Interrupção na página de suporte monday.com.
• Bater na plataforma Cerb.
• Não foi possível verificar o tempo de atividade no Google Cloud Monitoring.
• Problema de validação de certificado no Cisco Umbrella Secure Web Gateway.
• Problemas de conexão com proxies Bluecoat e Palo Alto.
• O OVHcloud está tendo problemas para se conectar à API OpenStack.
• Problemas ao gerar relatórios no Shopify.
• Existem problemas para acessar a API do Heroku.
• Crash no Ledger Live Manager.
• Erro de validação de certificado nas ferramentas de desenvolvimento de aplicativos do Facebook.
• Problemas na Sophos SG UTM.
• Problemas com verificação de certificado no cPanel.

Como uma solução alternativa, é proposto excluir o certificado “DST Root CA X3” do armazenamento do sistema (/etc/ca-certificates.conf e /etc/ssl/certs) e então executar o comando update-ca -ificates -f -v).

No CentOS e RHEL, você pode adicionar o certificado “DST Root CA X3″ à lista negra.
[postlist tags=”stream” requesttype=”1″ number=”4″]