  |
Za poslednú hodinu: 1 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Piatok, 22. novembra 2024, dnes má meniny Cecília |
|
Let's Encrypt stiahla kontroverzný plán, zneplatila iba stovky nevymenených certifikátov
web
Ako sme informovali v tomto článku, pre chybu v kontrole DNS záznamov typu Certification Authority Authorization, CAA, ktorými môžu držitelia domén cez DNS obmedziť certifikačné autority oprávnené vydávať pre danú doménu certifikáty, sa rozhodla Let's Encrypt pôvodne zneplatiť viac ako 3 milióny certifikátov. Išlo o všetky certifikáty, pri vydaní ktorých neboli dodržané pravidlá. Dodržané konkrétne nebolo skontrolovanie CAA záznamov najviac osem hodín pred vydaním certifikátu, ktorý bol pre viac domén, ich držanie bolo preukázané pred menej ako 30 dňami ale viac ako 8 hodinami. Ako sme upozorňovali, tento plán bol ale najmä v avizovanom harmonograme a vzhľadom na dopady kontroverzný. Popísaný problém automaticky neznamená ohrozenie bezpečnosti u všetkých certifikátov a masové kompromitovanie vydávania certifikátov, žiadatelia o certifikáty stále museli preukázať držanie domény cez web alebo DNS. Záznamy CAA podľa dostupných informácií využíva len malá časť domén. Plán mal navyše veľmi prísny harmonogram, Let's Encrypt pôvodne spomínala termín 4. marca 1:00, neskôr avizovala začiatok zneplatňovania na 4. marca 21:00 a dokončiť ho plánovala do 5. marca 4:00. Zneplatňovanie ale oznámila na svojom diskusnom fóre len 3. marca a v emailoch užívateľom, ktorí mali zaregistrovaný email. Kedy bola doručená aká časť emailov nie je jasné, časť užívateľov ale nemá registrovaný email. V noci na dnes nakoniec riaditeľ ISRG prevádzkujúcej Let's Encrypt ale oznámil výraznú zmenu plánu. Do 4:00 podľa neho stále nebolo vymenených viac ako 1 milión certifikátov a aby neprišlo k znefunkčneniu takéhoto veľkého počtu stránok, Let's Encrypt sa rozhodla nakoniec všetky predmetné certifikáty nezneplatniť. Zneplatnila zatiaľ iba niečo viac ako 1.7 milióna certifikátov, u ktorých si je istá že boli užívateľmi už nahradené. Ďalej zneplatnila iba 445 certifikátov bez ohľadu na to, či boli nahradené, u ktorých zrejme prišlo naozaj k vydaniu v rozpore s pravidlami a nastaveniami. Ide o certifikáty s doménami, ktoré mali v čase zistenia problému nastavený CAA záznam nedovoľujúci vydanie certifikátu certifikačnou autoritou Let's Encrypt. Ako prišlo k žiadosti o vydanie týchto 445 certifikátov napriek nastaveným CAA záznamov zabraňujúcim vydanie autoritou Let's Encrypt a v koľkých prípadoch išlo o aké dôvody nie je jasné. Let's Encrypt avizuje, že plánuje ešte zneplatniť aj ďalšie certifikáty ale tak aby užívateľom neznefunkčnila web. Aké presne certifikáty zneplatní neavizuje. Certifikáty od Let's Encrypt majú platnosť 90 dní a nezneplatnené, pri vydaní ktorých neboli dodržané pravidlá, tak postupne všetky expirujú do necelých troch mesiacov. 
Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
