Cómo afectan los cambios de certificado de Let's Encrypt a los clientes de Live Patching
La caducidad de un certificado raíz en la cadena de certificación Let's Encrypt causa múltiples problemas, especialmente cuando se combina con versiones antiguas de OpenSSL como las de CentOS 7.
El comportamiento de OpenSSL en esa versión fallaba la validación si encontraba un certificado "malo" (léase caducado) en cualquier punto de la ruta de certificación. Esto tiene un efecto dominó, haciendo que las conexiones a los servidores de KernelCare fallen. Se recomienda a los usuarios de servicios de live patching como KernelCare (cualquier versión) en CentOS 7 que actualicen el paquete ca-certificates, que elimina el certificado afectado y permite así que el cliente de live patching vuelva a funcionar con normalidad.
El certificado raíz que caducó en la cadena de certificación Let's Encrypt (DST Root CA X3) permanecerá en la cadena hasta 2024. Las versiones recientes de OpenSSL ignoran correctamente el certificado caducado y validan utilizando los certificados alternativos presentes en la cadena, pero las versiones más antiguas de OpenSSL fallarán la verificación. Esto causa serios problemas; las conexiones TLS fallarán cuando no deberían. En un desafortunado giro del destino, la propia utilidad "certbot" fallará a la hora de actualizar la cadena y renovar los certificados Let's Encrypt (lo que resolvería el problema).
En CentOS 7, ya existe un paquete ca-certificates actualizado que soluciona el problema eliminando el certificado caducado, lo que hace que OpenSSL ya no falle en la validación de los certificados de los servidores KernelCare. Si tiene sistemas que ejecutan CentOS 7, debería actualizar este paquete lo antes posible para solucionar cualquier problema relacionado con conexiones fallidas. Tenga en cuenta que esto afecta a muchos otros paquetes de software y no es sólo un problema específico de KernelCare, por lo que la actualización de ca-certificates es muy recomendable en cualquier escenario.
La actualización del certificado ca se realiza con el siguiente comando:
yum update -y ca-certificates
Si sigue teniendo problemas con los sistemas que no pueden acceder a nuestros servidores después de actualizar los certificados ca, póngase en contacto con nuestro servicio de asistencia aquí.
Si desea solucionar este problema de forma alternativa, puede poner el certificado en la lista negra manualmente. Sin embargo, no es necesario que lo hagas si actualizas el paquete ca-certificates.
Los siguientes comandos ponen en la lista negra el certificado caducado:
cp -i /etc/pki/tls/certs/ca-bundle.crt ~/ca-bundle.crt-backup
trust dump -filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem
sudo update-ca-trust extract
[Fuente: https://blog.devgenius.io/rhel-centos-7-fix-for-lets-encrypt-change-8af2de587fe4]