neprihlásený Nedeľa, 9. augusta 2020, dnes má meniny Ľubomíra
Let's Encrypt stiahla kontroverzný plán, zneplatila iba stovky nevymenených certifikátov

Značky: webbezpečnosťSSL / TLS

DSL.sk, 5.3.2020


Certifikačná autorita Let's Encrypt sa nakoniec niekoľko hodín pred avizovaným finálnym termínom zneplatnenia veľkého množstva certifikátov rozhodla neuskutočniť toto masové zneplatnenie a zneplatila len už vymenené certifikáty alebo tie, u ktorých to bolo naozaj najviac potrebné.

Ako sme informovali v tomto článku, pre chybu v kontrole DNS záznamov typu Certification Authority Authorization, CAA, ktorými môžu držitelia domén cez DNS obmedziť certifikačné autority oprávnené vydávať pre danú doménu certifikáty, sa rozhodla Let's Encrypt pôvodne zneplatiť viac ako 3 milióny certifikátov.

Išlo o všetky certifikáty, pri vydaní ktorých neboli dodržané pravidlá. Dodržané konkrétne nebolo skontrolovanie CAA záznamov najviac osem hodín pred vydaním certifikátu, ktorý bol pre viac domén, ich držanie bolo preukázané pred menej ako 30 dňami ale viac ako 8 hodinami.

Ako sme upozorňovali, tento plán bol ale najmä v avizovanom harmonograme a vzhľadom na dopady kontroverzný. Popísaný problém automaticky neznamená ohrozenie bezpečnosti u všetkých certifikátov a masové kompromitovanie vydávania certifikátov, žiadatelia o certifikáty stále museli preukázať držanie domény cez web alebo DNS. Záznamy CAA podľa dostupných informácií využíva len malá časť domén.

Plán mal navyše veľmi prísny harmonogram, Let's Encrypt pôvodne spomínala termín 4. marca 1:00, neskôr avizovala začiatok zneplatňovania na 4. marca 21:00 a dokončiť ho plánovala do 5. marca 4:00. Zneplatňovanie ale oznámila na svojom diskusnom fóre len 3. marca a v emailoch užívateľom, ktorí mali zaregistrovaný email. Kedy bola doručená aká časť emailov nie je jasné, časť užívateľov ale nemá registrovaný email.

V noci na dnes nakoniec riaditeľ ISRG prevádzkujúcej Let's Encrypt ale oznámil výraznú zmenu plánu. Do 4:00 podľa neho stále nebolo vymenených viac ako 1 milión certifikátov a aby neprišlo k znefunkčneniu takéhoto veľkého počtu stránok, Let's Encrypt sa rozhodla nakoniec všetky predmetné certifikáty nezneplatniť.

Zneplatnila zatiaľ iba niečo viac ako 1.7 milióna certifikátov, u ktorých si je istá že boli užívateľmi už nahradené. Ďalej zneplatnila iba 445 certifikátov bez ohľadu na to, či boli nahradené, u ktorých zrejme prišlo naozaj k vydaniu v rozpore s pravidlami a nastaveniami. Ide o certifikáty s doménami, ktoré mali v čase zistenia problému nastavený CAA záznam nedovoľujúci vydanie certifikátu certifikačnou autoritou Let's Encrypt.

Ako prišlo k žiadosti o vydanie týchto 445 certifikátov napriek nastaveným CAA záznamov zabraňujúcim vydanie autoritou Let's Encrypt a v koľkých prípadoch išlo o aké dôvody nie je jasné.

Let's Encrypt avizuje, že plánuje ešte zneplatniť aj ďalšie certifikáty ale tak aby užívateľom neznefunkčnila web. Aké presne certifikáty zneplatní neavizuje.

Certifikáty od Let's Encrypt majú platnosť 90 dní a nezneplatnené, pri vydaní ktorých neboli dodržané pravidlá, tak postupne všetky expirujú do necelých troch mesiacov.


      Zdieľaj na Twitteri



Najnovšie články:

Smartfóny s Qualcomm CPU sú zraniteľné, dajú sa využiť na špehovanie
Huawei kvôli sankciám v problémoch s CPU pre smartfóny, končí s vlastnými
Alza začala predávať alkohol
Sonda NASA pri asteroide si otestuje zostúpenie blízko k povrchu
Digitálne vysielanie rádií na Slovensku znížilo dátový tok


inzercia



Diskusia:
                               
 

Pri vytváraní certifikátov som si všimol, že dotaz aj pre druhú doménu išiel s menom prvej, takže stačilo požiadať o vydanie "mojadomena.tld, cudziadomena.tld" a LE vydal platný certifikát pre obe domény. Bolo to veľmi jednoducho zneužiteľné.
Odpovedať Hodnotiť:
 

Pri takom predvedení sľubovanej apokalypsy to priekazne ani na celkom malú sektičku nevydá.
Odpovedať Známka: 6.7 Hodnotiť:
 

Tusim na dsl som cital zranitelnost https. Tak naco to cele sifrovanie ked su backdoory este aj v biose diskov. To len dava konkurencnu vyhodu stvoritelovi hw/sw. Pre rovnost sanci otvorene a bez sifrovania. Mozno digitalne podpisy a hotovo.
Odpovedať Známka: -5.0 Hodnotiť:
 

odporucam tuto logiku aplikovat aj na zamok dveri svojho domu
Odpovedať Známka: 6.7 Hodnotiť:
 

cim viac to utocnikovi stazis, tym mensi zaujem bude mat v utoku pokracovat, resp. bude ho to stat viac zdrojov.
Nesifrovany disk si vie pozriet i ked bootoval system z usb.
Backdoor musi poznat, a musi mat vacsie zrucnosti a znalosti.
Odpovedať Hodnotiť:

Pridať komentár