Let's Encrypt 인증서 변경이 라이브 패치 고객에게 미치는 영향

Let's Encrypt 인증 체인에서 루트 인증서가 만료되면 여러 가지 문제가 발생하는데, 특히 CentOS 7과 같은 이전 버전의 OpenSSL과 함께 사용할 때 더욱 그렇습니다.

해당 버전의 OpenSSL 동작은 인증 경로의 어느 곳에서든 "잘못된"(읽기: 만료된) 인증서를 발견하면 유효성 검사에 실패합니다. 이는 파급 효과가 있어 KernelCare 서버에 대한 연결이 실패하게 됩니다. CentOS 7의 KernelCare(모든 버전)와 같은 라이브 패치 서비스 사용자는 ca-certificates 패키지를 업데이트하여 영향을 받는 인증서를 제거하여 라이브 패치 클라이언트가 정상적으로 작동을 재개할 수 있도록 하는 것이 좋습니다.

Let's Encrypt 인증 체인에서 만료된 루트 인증서(DST 루트 CA X3)는 2024년까지 체인에 남아있을 것입니다. 최신 버전의 OpenSSL은 만료된 인증서를 올바르게 무시하고 체인에 있는 대체 인증서를 사용하여 유효성을 검사하지만, 이전 버전의 OpenSSL은 확인에 실패합니다. 이로 인해 심각한 문제가 발생하며, TLS 연결이 실패하지 않아야 할 때 실패하게 됩니다. 안타깝게도 "certbot" 유틸리티 자체는 체인을 업데이트하고 Let's Encrypt 인증서를 갱신하지 못합니다(이 경우 문제가 해결됩니다).

CentOS 7에는 이미 만료된 인증서를 제거하여 문제를 해결하는 업데이트된 ca-certificates 패키지가 있으며, 이 패키지를 사용하면 OpenSSL이 더 이상 KernelCare 서버의 인증서의 유효성 검사에 실패하지 않습니다. CentOS 7을 실행하는 시스템을 사용하는 경우 가능한 한 빨리 이 패키지를 업데이트하여 연결 실패와 관련된 문제를 해결해야 합니다. 이 문제는 다른 많은 소프트웨어 패키지에 영향을 미치며 KernelCare에만 국한된 문제가 아니므로 어떤 시나리오에서든 ca-인증서를 업데이트하는 것이 좋습니다.

ca-인증서 업데이트는 다음 명령을 사용하여 수행합니다:

yum 업데이트 -y CA-인증서

CA 인증서를 업데이트한 후에도 시스템이 저희 서버에 연결할 수 없는 문제가 계속 발생하면 여기에서 지원팀에 문의하세요.

다른 방법으로 이 문제를 해결하려는 경우 인증서를 수동으로 블랙리스트에 추가할 수 있습니다. 하지만 ca-certificates 패키지를 업데이트하면 이 작업을 할 필요가 없습니다.

다음 명령은 만료된 인증서를 블랙리스트에 추가합니다:

cp -i /etc/pki/tls/certs/ca-bundle.crt ~/ca-bundle.crt-backup

신뢰 덤프 -필터 "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem

sudo update-ca-trust extract

[출처: https://blog.devgenius.io/rhel-centos-7-fix-for-lets-encrypt-change-8af2de587fe4]