Tesco má neprístupný web kvôli zneplatnenému certifikátu, dôvod zatiaľ nepotvrdený - aktualizácia 1

Značky: TescowebbezpečnosťSSL / TLS

DSL.sk, 6.3.2023

Veľký obchodný reťazec Tesco nemá na Slovensku zrejme už viac ako dva dni prístupnú svoju hlavnú webovú stránku a tiež stránku služby internetového nakupovania potravín Tesco Potraviny pre prehliadače korektne overujúce zneplatnenie certifikátov, keď tieto stránky používajú v súčasnosti neplatný webový SSL certifikát.

Viac ako problémy trvajúce dva dni je zaujímavejšia ich príčina. Certifikát týchto webov totiž nie je neplatný kvôli skončeniu platnosti, čo býva častá príčina takýchto problémov, ale kvôli predčasnému zneplatneniu tohto certifikátu u certifikačnej autority.

Certifikát používaný na tesco.sk a potravinydomov.itesco.sk, službe internetového nakupovania potravín, bol zneplatnený podľa informácií zverejnených certifikačnou autoritou v sobotu 4. marca o 6:00 nášho času. Jeho platnosť mala ale skončiť až 17. mája.

Na nefunkčný certifikát upozornil DSL.sk čitateľ v nedeľu podvečer, za čitateľský tip ďakujeme. Po zistení príčiny sme Tesco kontaktovali s otázkami v nedeľu po 19. hodine, spoločnosť zatiaľ incident nevysvetlila.

Certifikáty sa samozrejme bežne prestávajú používať pred skončením platnosti a s predstihom nahrádzajú novými, ukončenie používania ale nie je dôvod na zneplatnenie. K nasadeniu nového certifikátu navyše v prípade webov Tesca neprišlo, keď na weboch je stále nasadený zneplatnený certifikát.

K zneplatneniu sa typicky pristupuje iba z vážnych dôvodov. Ak certifikát zneplatnilo Tesco alebo niektorý z jeho IT dodávateľov, na strane používateľov certifikátov býva najčastejším dôvodom zneplatnenia kompromitácia privátneho kľúča k certifikátu alebo možná kompromitácia. K nej môže prísť napríklad po úspešnom hackerskom útoku ale samozrejme aj rozličnými inými spôsobmi.

Certifikáty môže z niektorých príčin zneplatniť aj certifikačná autorita, ktorá ich vydala. Certifikačná autorita Entrust, ktorá vydala tento certifikát, ale zrejme verejne cez štandardné komunikačné kanály neinformuje o žiadnom aktuálnom hromadnom zneplatnení certifikátov.

Možné sú tiež ďalšie scenáre, ako mohol byť certifikát zneplatnený.

Aktualizácia 1: Tesco medzi 10. a 11. hodinou nasadilo na weby nový platný certifikát vytvorený ešte 1. februára. Certifikát má platnosť do 17. mája tohto roka rovnako ako doterajší certifikát, tiež bol vydaný certifikačnou autoritou Entrust a je pre iný RSA kľúč ako doterajší certifikát.

U Tesca samozrejme zisťujeme všetky detaily incidentu vrátane príčiny, prečo bol certifikát zneplatnený.




Najnovšie články:



Diskusia:

dnes má meniny Radoslav, Radoslava Od: peter_svk | Pridané: 6.3.2023 10:18 Tieto kauzy každého iba otravujú. Ja by som všetky tie certifikáty a zabezpečenia zakázal. Odpovedať Známka: 5.9 Hodnotiť:

Re: dnes má meniny Radoslav, Radoslava Od reg.: trololo | Pridané: 6.3.2023 12:23 Tolko minusok, ta dnesna degenerovana mladez uz nepozna klasiku. Odpovedať Známka: 1.0 Hodnotiť:

Re: dnes má meniny Radoslav, Radoslava Od: Nie som robot | Pridané: 6.3.2023 14:49 Mladí poznajú už len: "Tu prídeš - Trieda SNP 11 bo keď ne, ta... " Odpovedať Známka: 6.7 Hodnotiť:

dovod Od: OriginalnyKoumak | Pridané: 6.3.2023 10:33 ataci pozret na stranku entrust, dovod je tam napisany ... ich root CA vyhodili.. odhadujem, ze to suvisi s prelomenim ich infrastruktury v lete 2022. https://security.googleblog.com/ 2023/01/sustaining-digital -certificate-security_13.html Odpovedať Známka: 8.8 Hodnotiť:

Re: dovod Od: pije cela krajina | Pridané: 6.3.2023 21:43 Mne to príde ako výpalné. Nečudoval by som sa, keby útočníkov platili vydavatelia certifikátov. Slušný človek aby sa presunul na TOR. Odpovedať Známka: 5.0 Hodnotiť:

5znak Od: XMen | Pridané: 6.3.2023 10:33 V dnesnej dobe ked su certifikaty bezplatne? Odpovedať Známka: 2.5 Hodnotiť:

Re: 5znak Od: diplomatik | Pridané: 6.3.2023 11:01 to je ako diplom, kazdy si moze doma vytlacit svoj a byt si autoritou Odpovedať Známka: 6.4 Hodnotiť:

Re: 5znak Od: XMen | Pridané: 6.3.2023 12:26 No ale na to si musis zalozit VS co je podla mna celkom problem. Hlavne dnes mas certifikat od autority zadarmo a dokonca sa skriptom nasadzuje automaticky. Odpovedať Známka: 3.3 Hodnotiť:

ultraradikálny konsenzualizmus Od: syntaxterrorXXX,. X | Pridané: 6.3.2023 22:04 Aj z mosta môžu skákať všetci priekazne zadarmo. A tiež je za to certifikát od autority. Odpovedať Známka: 3.3 Hodnotiť:

Re: ultraradikálny konsenzualizmus Od: Strapatá zuza zo známky | Pridané: 7.3.2023 10:02 vylovenie pozostatkov, odvoz, hrobové miesto, kremácia, truhla nič z toho nie je zadarmo. Od státu dostaneš príspevok 70eur a certifikát iba ak ta nájdu a vylovia, ak nie tak platíš odvody ďalej. Odpovedať Hodnotiť:

ultraradikálny optimalizatorizmus Od: syntaxterrorXXX,. X | Pridané: 7.3.2023 14:01 Aké vylovenie? Šak tu sa všetci projektanti hanbia predložiť čo len návrh úseku diaľnice bez estakád a aspoň trojúrovňovej križovatky. Iba idiot by hľadal most ponad priekazne postačujúci potok. Odpovedať Známka: 0.0 Hodnotiť:

Re: ultraradikálny optimalizatorizmus Od: Strapatá zuza zo známky | Pridané: 7.3.2023 20:59 Len aby ťa rumunsky kamionista neodviezol do moldavska, kde ťa vyloží do priekopy, keď bude odplachtovávať. Bežný nadjazd na certifikát nestačí, maximálne dostaneš príspevok na invalidný vozík. Odpovedať Hodnotiť:

Len im dajte Od: vger | Pridané: 6.3.2023 10:55 Len im dajte !!!!!!!!!!!!!!!--\\ASCI//---!!!!!!!!!!!!!!!!! Odpovedať Známka: -5.0 Hodnotiť:

mne to ide Od: weaweew | Pridané: 6.3.2023 10:58 divne, mne to browsery zozeru, pritom je tam Entrust cert s expiraciou Wednesday, May 17, 2023 at 4:23:07 PM, vydany v februari - to niekoho bavi manualne nahadzovat cetifikaty kazde mesiace??? Odpovedať Hodnotiť:

Re: mne to ide Od: certbot123 | Pridané: 6.3.2023 11:13 Nie nebavi. Na co sluzi napr. taky Certbot najdes tu, tu a tu Odpovedať Hodnotiť:

ultraumiernený prakticizmus Od: syntaxterrorXXX,. X | Pridané: 6.3.2023 11:54 imho, samotná automatická obnova certifikátov slúži len na to, aby bol, čo sa reálnej bezpečnosti týka, kompletný certifikačný proces priekazne ešte väčšia fraška, ako keď ju vôbec čo len umožňuje. Odpovedať Známka: -4.3 Hodnotiť:

Re: ultraumiernený prakticizmus Od: wefsdfdzfs | Pridané: 6.3.2023 12:50 certbot vie robit automatizovanu obnovu certifikatu aj s Entrustom? Odpovedať Hodnotiť:

Re: ultraumiernený prakticizmus Od: certbot123 | Pridané: 6.3.2023 13:36 Entrust podporuje ACME protokol, takze ano, certbot funguje s Entrustom Odpovedať Známka: 6.7 Hodnotiť:

Re: ultraumiernený prakticizmus Od: wedfeas | Pridané: 6.3.2023 14:04 vdaka, toto mi nejak uslo. Odpovedať Hodnotiť:

SSL- cert Od: SSL | Pridané: 6.3.2023 11:34 Skôr to vyzerá tak že SSL bol zaplatený pretože " Vydané dňa streda 1. februára 2023 o 15:23:07 " ale nenahodili ho na webku. Stačí si pozrieť dátum vydania certifikátu a čas nedostupnosti webky, a hneď je jasné čo sa stalo :) Odpovedať Hodnotiť:

Re: SSL- cert Od: 6aaaaaa | Pridané: 6.3.2023 14:22 ako ich tam nahadzujes, lopatú alebo klasicky si zozenies dvoch silnych chlapov? Odpovedať Hodnotiť:

uz ide Od: nezmar | Pridané: 6.3.2023 11:56 už to ide Odpovedať Známka: 5.0 Hodnotiť:

Re: uz ide Od: ehjhjkhjk | Pridané: 6.3.2023 13:25 chvala certifikatu Odpovedať Známka: 6.0 Hodnotiť:

Re: uz ide o to.. Od reg.: ujo horar | Pridané: 6.3.2023 13:38 autoritam slava Odpovedať Známka: 5.0 Hodnotiť:

Re: uz ide Od: Reklama | Pridané: 6.3.2023 23:28 Opravuje klby za 1 hodinu Odpovedať Hodnotiť:

Sú aj iné možnosti. Od: Spotrebiteľ | Pridané: 6.3.2023 14:17 Preto je dobré, že majú aj kamenné predajne. Tu je autoritou SBS služba, ktorej sa niekedy bolo treba preukázať očkovacím certifikátom, ale konzument si potom predsa len mohol nakúpiť, kým cez nefunkčnú stránku, vzhľadom na zneplatnený certifikát, to nešlo. V tom je výhoda dostaviť sa osobne. Odpovedať Hodnotiť:

Re: Sú aj iné možnosti. Od: ... | Pridané: 6.3.2023 15:08 Rovnako ako SSL môže zlyhať aj SBS... https://dopice.sk/fzE Odpovedať Hodnotiť:

Vazena redakcia Od reg.: miggg | Pridané: 6.3.2023 14:30 Prosim vas, poziadajte ministerstvo vnutra o stanovisko k incidentu, preco im cely den nefunguje rezervacny system na portal.minv.sk, sice zrejme incident nevysvetlia, ale aspon to mozno opravia. Diky Odpovedať Známka: 2.0 Hodnotiť:

Re: Vazena redakcia Od: asred | Pridané: 6.3.2023 15:19 Vsak ide, len "trochu" pomaly. Odpovedať Hodnotiť:

Re: Vazena redakcia Od reg.: miggg | Pridané: 6.3.2023 15:38 Fakt uz "ide", ale rano a naobed mi dakde v 3. kroku hodilo 404... Tak som uz ten nekonecny loading povazoval za nepriechodny... Asi zabudli spagaty popolievat... Odpovedať Hodnotiť:

titulok Od: hknmtt | Pridané: 6.3.2023 16:18 tieto trojmesacne certifikaty(to ani nehovorim o lets encrypt) su neskutocna hovedzina. cisty masochizmus. Odpovedať Hodnotiť:

Re: titulok Od: sajfiasji | Pridané: 6.3.2023 21:44 Mam let's encrypt, spolu s certbot a cron, raz vsetko nastavis a nic nemusis riesit, nevidim tam ziaden masochizmus. Odpovedať Hodnotiť:

Re: titulok Od: Mek | Pridané: 7.3.2023 13:42 Ale ked mas wildcard certifikat, potrebujes zakazdym verifikovat vlastnictvo domeny cez dns zaznamy a tam ti ani cron nepomoze. Odpovedať Hodnotiť:

Re: titulok Od: sajfiasji | Pridané: 7.3.2023 18:16 Verifikacia nie je len cez DNS ale mozes verifikovat aj cez http a to tak, ze ti placne do webroot nasledne to getne cez http, tym sa verifikuje vlastnictvo domen. Odpovedať Hodnotiť:

Re: titulok Od: OriginalnyKoumak | Pridané: 6.3.2023 22:36 mna skor nastvalo skratenie platnosti komercnych certifikatov, takze aj ked si zaplatis na 4 roky, tak aby si si kazdy rok nacucal refresnutu verziu :( Odpovedať Hodnotiť:

Re: titulok Od: Ssl | Pridané: 7.3.2023 13:06 Je to logické a správne, preto vznikla automatizácia predĺženia SSL (ACME). Aktuálne mam v správe cez 400 SSL a nevidím v tom žiaden masochizmus. Cron beží, renew prebehne a raz za čas spravím update. Teda aj keby to zuzili na 7 dní je to ok a je tam čas riešiť prípadnú nefunkčnosť. Ak by ti nahodou niekto odcudzil privátny kľúč tak čítať komunikáciu môže len týždeň nie 4 roky ako by si chcel. Aktuálne je definovaná max platnosť na cca rok. Aj to sa uvažuje skrátiť na menej. Meniť SSL a zvyšovať silu šifrovania bude stále potrebné v rámci zvyšovania "bezpečnosti". Odpovedať Hodnotiť:

hmn Java kurzy Od: Lyta ZkrachZneuzNasranáChudobná | Pridané: 6.3.2023 16:46 čo je lepšie - QA tester kurz, Java, C++, - abo Cisco CCNA, CCNP kurz ? čo sa víc oplatí hmnnnnnnn Q.A.testing.. kontrola kvality a testovanie softvaru.. Odpovedať Známka: -10.0 Hodnotiť:

Re: hmn Java kurzy Od reg.: miggg | Pridané: 6.3.2023 17:03 A kuchar/casnik uz mas? Odpovedať Známka: 7.8 Hodnotiť:

Re: hmn Java kurzy Od reg.: MackoPu1 | Pridané: 6.3.2023 18:16 Ak sa tym chces zivit, oplati sa cokolvek. Ak nie, je to zrejme zbytocne zabity cas. Pozri si ponuky na pracu kto co hlada a kolko za to ponuka. Jednoduche ako facka. Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár