Comment les changements de certificat de Let's Encrypt affectent les clients Live Patching

L'expiration d'un certificat racine dans la chaîne de certification Let's Encrypt cause de multiples problèmes, surtout lorsqu'il est associé à des versions anciennes d'OpenSSL comme celles de CentOS 7.

Le comportement d'OpenSSL dans cette version échoue la validation s'il trouve un "mauvais" certificat (lire : expiré) n'importe où dans le chemin de certification. Cela a un effet d'entraînement, faisant échouer les connexions aux serveurs de KernelCare. Les utilisateurs de services de correctifs en direct comme KernelCare (toutes versions confondues) sur CentOS 7 sont encouragés à mettre à jour le paquet ca-certificates, qui supprime le certificat affecté et permet ainsi au client de correctifs en direct de recommencer à fonctionner normalement.

Le certificat racine qui a expiré dans la chaîne de certification de Let's Encrypt (DST Root CA X3) restera dans la chaîne jusqu'en 2024. Les versions récentes d'OpenSSL ignorent correctement le certificat expiré et valident en utilisant les certificats alternatifs présents dans la chaîne, mais les versions plus anciennes d'OpenSSL échoueront la vérification. Cela pose de sérieux problèmes ; les connexions TLS échouent alors qu'elles ne devraient pas l'être. Par un malheureux coup du sort, l'utilitaire "certbot" lui-même ne parvient pas à mettre à jour la chaîne et à renouveler les certificats Let's Encrypt (ce qui résoudrait le problème).

Dans CentOS 7, il existe déjà un paquetage ca-certificates mis à jour qui résout le problème en supprimant le certificat expiré, ce qui permet à OpenSSL de ne plus échouer la validation des certificats des serveurs KernelCare. Si vous avez des systèmes fonctionnant sous CentOS 7, vous devez mettre à jour ce paquetage dès que possible afin de résoudre tout problème lié à l'échec des connexions. Notez que ce problème affecte de nombreux autres paquets logiciels et n'est pas seulement spécifique à KernelCare, donc la mise à jour de ca-certificates est fortement recommandée dans tous les cas.

La mise à jour du ca-certificat se fait avec la commande suivante :

yum update -y ca-certificats

Si vous rencontrez toujours des problèmes avec des systèmes incapables d'atteindre nos serveurs après la mise à jour des ca-certificats, contactez notre support ici.

Si vous souhaitez résoudre ce problème d'une manière alternative, vous pouvez mettre le certificat sur liste noire manuellement. Cependant, vous n'avez pas besoin de le faire si vous mettez à jour le paquetage ca-certificates.

Les commandes suivantes mettent sur liste noire le certificat expiré :

cp -i /etc/pki/tls/certs/ca-bundle.crt ~/ca-bundle.crt-backup

trust dump -filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem

sudo update-ca-trust extract

[Source : https://blog.devgenius.io/rhel-centos-7-fix-for-lets-encrypt-change-8af2de587fe4]