Problemas gerados pelo cancelamento do certificado DST Root CA X3 já começaram

Confira os detalhes sobre os problemas gerados pelo cancelamento do certificado DST Root CA X3, que já começaram a aparecer em diferentes locais.

Recentemente houve relato de que o cancelamento do certificado IdenTrust (DST Root CA X3) usado para assinar o certificado Let’s Encrypt CA causou problemas com a validação do certificado Let’s Encrypt em projetos que usam versões anteriores do OpenSSL e GnuTLS.

Infelizmente, esse parece ter sido apenas o primeiro de muitos problemas causados por essa cancelamento.

Problemas gerados pela conclusão do certificado DST Root CA X3 já começaram

Problemas gerados pelo cancelamento do certificado DST Root CA X3 já começaram
Problemas gerados pelo cancelamento do certificado DST Root CA X3 já começaram

Os problemas também afetaram a biblioteca LibreSSL, cujos desenvolvedores não levaram em consideração a experiência anterior relacionada a travamentos que ocorreram depois que o certificado raiz AddTrust da autoridade de certificação Sectigo (Comodo) expirou.

E é que nas versões OpenSSL até 1.0.2 incluídas e no GnuTLS antes de 3.6.14, ocorreu um erro que não permitiu o processamento correto de certificados assinados se um dos certificados raiz usados ​​para assinatura expirou, mesmo que outros válidos foram mantidos.

A essência do bug é que as versões anteriores do OpenSSL e GnuTLS analisavam o certificado como uma cadeia linear, enquanto de acordo com a RFC 4158, um certificado pode representar um gráfico de pizza distribuído direcionado com várias âncoras de confiança que precisam ser levadas em consideração.

Por sua vez, o projeto OpenBSD lançou com urgência patches para os branches 6.8 e 6.9 hoje, que corrigem problemas no LibreSSL com verificação de certificado de assinatura cruzada, um dos certificados raiz na cadeia de confiança expirou.

Como solução para o problema, é recomendado em /etc/installurl, mudar de HTTPS para HTTP (isso não ameaça a segurança, pois as atualizações são adicionalmente verificadas por assinatura digital) ou selecione um espelho alternativo (ftp.usa.openbsd.org , ftp.hostserver.de, cdn.openbsd.org).

O certificado DST Root CA X3 expirado também pode ser removido do arquivo /etc/ssl/cert.pem, e o utilitário syspatch usado para instalar atualizações binárias do sistema parou de funcionar no OpenBSD.

Problemas similares do DragonFly BSD ocorrem ao trabalhar com DPorts. Ao iniciar o gerenciador de pacotes pkg, um erro de validação de certificado é gerado.

A correção foi adicionada aos branches master, DragonFly_RELEASE_6_0 e DragonFly_RELEASE_5_8 hoje. Como solução alternativa, você pode remover o certificado DST Root CA X3.

Algumas das falhas que ocorreram após o cancelamento do certificado IdenTrust foram as seguintes:

  • O processo de verificação para certificados Let’s Encrypt em aplicativos baseados na plataforma Electron foi interrompido. Este problema foi corrigido nas atualizações 12.2.1, 13.5.1, 14.1.0, 15.1.0.
  • Algumas distribuições têm problemas para acessar repositórios de pacotes ao usar o gerenciador de pacotes APT incluído com versões anteriores da biblioteca GnuTLS.
  • Debian 9 se vio afectado por el paquete GnuTLS sin parches, lo que provocó problemas para acceder a deb.debian.org para los usuarios que no instalaron las actualizaciones a tiempo (la solución gnutls28-3.5.8-5 + deb9u6 se propuso el 17 de setembro).
  • O cliente acme quebrou no OPNsense, o problema foi relatado com antecedência, mas os desenvolvedores não conseguiram lançar o patch a tempo.
  • O problema afetou o pacote OpenSSL 1.0.2k no RHEL/CentOS 7, mas uma semana atrás para RHEL 7 e CentOS 7, uma atualização para o pacote ca-certificate-2021.2.50-72.el7_9.noarch foi gerado, a partir do qual o O certificado IdenTrust foi excluído, ou seja, a manifestação do problema foi bloqueada anteriormente.
  • Como as atualizações foram lançadas com antecedência, o problema com a verificação dos certificados Let’s Encrypt afetou apenas os usuários dos antigos RHEL/CentOS e branches do Ubuntu, que não instalam atualizações regularmente.
  • O processo de verificação de certificado no grpc está quebrado.
  • Falha ao criar plataforma de página Cloudflare.
  • Problemas do Amazon Web Services (AWS).
  • Os usuários do DigitalOcean estão tendo problemas para se conectar ao banco de dados.
  • Falha da plataforma de nuvem Netlify.
  • Problemas para acessar os serviços Xero.
  • Uma tentativa de estabelecer uma conexão TLS com a API da Web MailGun falhou.
  • Bugs nas versões macOS e iOS (11, 13, 14), que teoricamente não deveriam ter sido afetados pelo problema.
  • Falha nos serviços de ponto de captura.
  • Falha ao verificar os certificados ao acessar a API PostMan.
  • O Guardian Firewall travou.
  • Interrupção na página de suporte monday.com.
  • Bater na plataforma Cerb.
  • Não foi possível verificar o tempo de atividade no Google Cloud Monitoring.
  • Problema de validação de certificado no Cisco Umbrella Secure Web Gateway.
  • Problemas de conexão com proxies Bluecoat e Palo Alto.
  • O OVHcloud está tendo problemas para se conectar à API OpenStack.
  • Problemas ao gerar relatórios no Shopify.
  • Existem problemas para acessar a API do Heroku.
  • Crash no Ledger Live Manager.
  • Erro de validação de certificado nas ferramentas de desenvolvimento de aplicativos do Facebook.
  • Problemas na Sophos SG UTM.
  • Problemas com verificação de certificado no cPanel.

Como uma solução alternativa, é proposto excluir o certificado “DST Root CA X3” do armazenamento do sistema (/etc/ca-certificates.conf e /etc/ssl/certs) e então executar o comando update-ca -ificates -f -v).

No CentOS e RHEL, você pode adicionar o certificado “DST Root CA X3” à lista negra.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.