Wie sich Änderungen an Let's Encrypt-Zertifikaten auf Live-Patching-Kunden auswirken

Das Ablaufen eines Root-Zertifikats in der Let's Encrypt-Zertifizierungskette verursacht mehrere Probleme, insbesondere in Verbindung mit älteren Versionen von OpenSSL wie in CentOS 7.

Das Verhalten von OpenSSL in dieser Version würde die Validierung fehlschlagen lassen, wenn es irgendwo auf dem Zertifizierungspfad ein "schlechtes" (sprich: abgelaufenes) Zertifikat findet. Dies hat einen Dominoeffekt und führt dazu, dass die Verbindungen zu den Servern von KernelCare fehlschlagen. Nutzern von Live-Patching-Diensten wie KernelCare (jede Version) unter CentOS 7 wird empfohlen, das Paket ca-certificates zu aktualisieren, wodurch das betroffene Zertifikat entfernt wird und der Live-Patching-Client wieder normal arbeiten kann.

Das abgelaufene Stammzertifikat in der Let's Encrypt-Zertifizierungskette (DST Root CA X3) wird bis 2024 in der Kette verbleiben. Neuere Versionen von OpenSSL ignorieren das abgelaufene Zertifikat und validieren es mit den alternativen Zertifikaten in der Kette, aber ältere Versionen von OpenSSL schlagen die Überprüfung fehl. Dies führt zu schwerwiegenden Problemen; TLS-Verbindungen schlagen fehl, obwohl sie es nicht sollten. Unglücklicherweise kann das Dienstprogramm "certbot" selbst die Kette nicht aktualisieren und die Let's Encrypt-Zertifikate erneuern (was das Problem lösen würde).

In CentOS 7 gibt es bereits ein aktualisiertes ca-certificates-Paket, das das Problem behebt, indem es das abgelaufene Zertifikat entfernt, was dazu führt, dass OpenSSL die Validierung der Zertifikate der KernelCare-Server nicht mehr fehlschlägt. Wenn Sie Systeme haben, auf denen CentOS 7 läuft, sollten Sie dieses Paket so bald wie möglich aktualisieren, um alle Probleme im Zusammenhang mit fehlgeschlagenen Verbindungen zu beheben. Beachten Sie, dass dies viele andere Softwarepakete betrifft und nicht nur ein KernelCare-spezifisches Problem ist.

Die Aktualisierung des ca-Zertifikats erfolgt mit dem folgenden Befehl:

yum update -y ca-Zertifikate

Wenn Sie nach der Aktualisierung der ca-Zertifikate immer noch Probleme mit Systemen haben, die unsere Server nicht erreichen können, wenden Sie sich bitte hier an unseren Support.

Wenn Sie dieses Problem auf eine andere Weise lösen möchten, können Sie das Zertifikat manuell auf eine schwarze Liste setzen. Sie müssen dies jedoch nicht tun, wenn Sie das Paket ca-certificates aktualisieren.

Die folgenden Befehle setzen das abgelaufene Zertifikat auf die schwarze Liste:

cp -i /etc/pki/tls/certs/ca-bundle.crt ~/ca-bundle.crt-backup

trust dump -filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem

sudo update-ca-trust extract

[Quelle: https://blog.devgenius.io/rhel-centos-7-fix-for-lets-encrypt-change-8af2de587fe4]