neprihlásený
|
Piatok, 11. októbra 2024, dnes má meniny Valentína |
|
Let's Encrypt stiahla kontroverzný plán, zneplatila iba stovky nevymenených certifikátov
Značky:
webbezpečnosťSSL / TLS
DSL.sk, 5.3.2020
|
|
Certifikačná autorita Let's Encrypt sa nakoniec niekoľko hodín pred avizovaným finálnym termínom zneplatnenia veľkého množstva certifikátov rozhodla neuskutočniť toto masové zneplatnenie a zneplatila len už vymenené certifikáty alebo tie, u ktorých to bolo naozaj najviac potrebné.
Ako sme informovali v tomto článku, pre chybu v kontrole DNS záznamov typu Certification Authority Authorization, CAA, ktorými môžu držitelia domén cez DNS obmedziť certifikačné autority oprávnené vydávať pre danú doménu certifikáty, sa rozhodla Let's Encrypt pôvodne zneplatiť viac ako 3 milióny certifikátov.
Išlo o všetky certifikáty, pri vydaní ktorých neboli dodržané pravidlá. Dodržané konkrétne nebolo skontrolovanie CAA záznamov najviac osem hodín pred vydaním certifikátu, ktorý bol pre viac domén, ich držanie bolo preukázané pred menej ako 30 dňami ale viac ako 8 hodinami.
Ako sme upozorňovali, tento plán bol ale najmä v avizovanom harmonograme a vzhľadom na dopady kontroverzný. Popísaný problém automaticky neznamená ohrozenie bezpečnosti u všetkých certifikátov a masové kompromitovanie vydávania certifikátov, žiadatelia o certifikáty stále museli preukázať držanie domény cez web alebo DNS. Záznamy CAA podľa dostupných informácií využíva len malá časť domén.
Plán mal navyše veľmi prísny harmonogram, Let's Encrypt pôvodne spomínala termín 4. marca 1:00, neskôr avizovala začiatok zneplatňovania na 4. marca 21:00 a dokončiť ho plánovala do 5. marca 4:00. Zneplatňovanie ale oznámila na svojom diskusnom fóre len 3. marca a v emailoch užívateľom, ktorí mali zaregistrovaný email. Kedy bola doručená aká časť emailov nie je jasné, časť užívateľov ale nemá registrovaný email.
V noci na dnes nakoniec riaditeľ ISRG prevádzkujúcej Let's Encrypt ale oznámil výraznú zmenu plánu. Do 4:00 podľa neho stále nebolo vymenených viac ako 1 milión certifikátov a aby neprišlo k znefunkčneniu takéhoto veľkého počtu stránok, Let's Encrypt sa rozhodla nakoniec všetky predmetné certifikáty nezneplatniť.
Zneplatnila zatiaľ iba niečo viac ako 1.7 milióna certifikátov, u ktorých si je istá že boli užívateľmi už nahradené. Ďalej zneplatnila iba 445 certifikátov bez ohľadu na to, či boli nahradené, u ktorých zrejme prišlo naozaj k vydaniu v rozpore s pravidlami a nastaveniami. Ide o certifikáty s doménami, ktoré mali v čase zistenia problému nastavený CAA záznam nedovoľujúci vydanie certifikátu certifikačnou autoritou Let's Encrypt.
Ako prišlo k žiadosti o vydanie týchto 445 certifikátov napriek nastaveným CAA záznamov zabraňujúcim vydanie autoritou Let's Encrypt a v koľkých prípadoch išlo o aké dôvody nie je jasné.
Let's Encrypt avizuje, že plánuje ešte zneplatniť aj ďalšie certifikáty ale tak aby užívateľom neznefunkčnila web. Aké presne certifikáty zneplatní neavizuje.
Certifikáty od Let's Encrypt majú platnosť 90 dní a nezneplatnené, pri vydaní ktorých neboli dodržané pravidlá, tak postupne všetky expirujú do necelých troch mesiacov.
Najnovšie články:
Diskusia:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
mne to jasné je ..
Od reg.: Uhlik
|
Pridané:
5.3.2020 9:59
Pri vytváraní certifikátov som si všimol, že dotaz aj pre druhú doménu išiel s menom prvej, takže stačilo požiadať o vydanie "mojadomena.tld, cudziadomena.tld" a LE vydal platný certifikát pre obe domény. Bolo to veľmi jednoducho zneužiteľné.
|
|
ultraradikalny empaticizmus
Od: syntaxterrorXXX .X
|
Pridané:
5.3.2020 10:52
Pri takom predvedení sľubovanej apokalypsy to priekazne ani na celkom malú sektičku nevydá.
|
|
Naco https
Od reg.: Macko Pu
|
Pridané:
5.3.2020 17:22
Tusim na dsl som cital zranitelnost https. Tak naco to cele sifrovanie ked su backdoory este aj v biose diskov. To len dava konkurencnu vyhodu stvoritelovi hw/sw. Pre rovnost sanci otvorene a bez sifrovania. Mozno digitalne podpisy a hotovo.
|
|
Re: Naco https
Od: matoha
|
Pridané:
5.3.2020 18:57
odporucam tuto logiku aplikovat aj na zamok dveri svojho domu
|
|
Re: Naco https
Od: stomohrom
|
Pridané:
6.3.2020 8:52
cim viac to utocnikovi stazis, tym mensi zaujem bude mat v utoku pokracovat, resp. bude ho to stat viac zdrojov.
Nesifrovany disk si vie pozriet i ked bootoval system z usb.
Backdoor musi poznat, a musi mat vacsie zrucnosti a znalosti.
|
Pridať komentár
|
|
|
|