neprihlásený Streda, 30. októbra 2024, dnes má meniny Šimon, Simona
Tesco má neprístupný web kvôli zneplatnenému certifikátu, dôvod zatiaľ nepotvrdený - aktualizácia 1

Značky: TescowebbezpečnosťSSL / TLS

DSL.sk, 6.3.2023


Veľký obchodný reťazec Tesco nemá na Slovensku zrejme už viac ako dva dni prístupnú svoju hlavnú webovú stránku a tiež stránku služby internetového nakupovania potravín Tesco Potraviny pre prehliadače korektne overujúce zneplatnenie certifikátov, keď tieto stránky používajú v súčasnosti neplatný webový SSL certifikát.

Viac ako problémy trvajúce dva dni je zaujímavejšia ich príčina. Certifikát týchto webov totiž nie je neplatný kvôli skončeniu platnosti, čo býva častá príčina takýchto problémov, ale kvôli predčasnému zneplatneniu tohto certifikátu u certifikačnej autority.

Certifikát používaný na tesco.sk a potravinydomov.itesco.sk, službe internetového nakupovania potravín, bol zneplatnený podľa informácií zverejnených certifikačnou autoritou v sobotu 4. marca o 6:00 nášho času. Jeho platnosť mala ale skončiť až 17. mája.

Na nefunkčný certifikát upozornil DSL.sk čitateľ v nedeľu podvečer, za čitateľský tip ďakujeme. Po zistení príčiny sme Tesco kontaktovali s otázkami v nedeľu po 19. hodine, spoločnosť zatiaľ incident nevysvetlila.

Certifikáty sa samozrejme bežne prestávajú používať pred skončením platnosti a s predstihom nahrádzajú novými, ukončenie používania ale nie je dôvod na zneplatnenie. K nasadeniu nového certifikátu navyše v prípade webov Tesca neprišlo, keď na weboch je stále nasadený zneplatnený certifikát.

K zneplatneniu sa typicky pristupuje iba z vážnych dôvodov. Ak certifikát zneplatnilo Tesco alebo niektorý z jeho IT dodávateľov, na strane používateľov certifikátov býva najčastejším dôvodom zneplatnenia kompromitácia privátneho kľúča k certifikátu alebo možná kompromitácia. K nej môže prísť napríklad po úspešnom hackerskom útoku ale samozrejme aj rozličnými inými spôsobmi.

Certifikáty môže z niektorých príčin zneplatniť aj certifikačná autorita, ktorá ich vydala. Certifikačná autorita Entrust, ktorá vydala tento certifikát, ale zrejme verejne cez štandardné komunikačné kanály neinformuje o žiadnom aktuálnom hromadnom zneplatnení certifikátov.

Možné sú tiež ďalšie scenáre, ako mohol byť certifikát zneplatnený.

Aktualizácia 1: Tesco medzi 10. a 11. hodinou nasadilo na weby nový platný certifikát vytvorený ešte 1. februára. Certifikát má platnosť do 17. mája tohto roka rovnako ako doterajší certifikát, tiež bol vydaný certifikačnou autoritou Entrust a je pre iný RSA kľúč ako doterajší certifikát.

U Tesca samozrejme zisťujeme všetky detaily incidentu vrátane príčiny, prečo bol certifikát zneplatnený.


      Zdieľaj na Twitteri



Najnovšie články:

Vydaná Fedora 41
Apple výrazne zmenšila Mac mini, pomerne výkonný desktop má 12.7 cm x 12.7 cm
Vydaný nový oficiálny OS pre Raspberry Pi, s podstatnou novinkou
Voyager 1 má ďalší problém, prepol sa na inú frekvenciu
Apple uviedla prvý Mac s M4


inzercia



Diskusia:
                               
 

Tieto kauzy každého iba otravujú. Ja by som všetky tie certifikáty a zabezpečenia zakázal.
Odpovedať Známka: 5.9 Hodnotiť:
 

Tolko minusok, ta dnesna degenerovana mladez uz nepozna klasiku.
Odpovedať Známka: 1.0 Hodnotiť:
 

Mladí poznajú už len: "Tu prídeš - Trieda SNP 11 bo keď ne, ta... "
Odpovedať Známka: 6.7 Hodnotiť:
 

ataci pozret na stranku entrust, dovod je tam napisany ...
ich root CA vyhodili.. odhadujem, ze to suvisi s prelomenim ich infrastruktury v lete 2022.

https://security.googleblog.com/ 2023/01/sustaining-digital -certificate-security_13.html
Odpovedať Známka: 8.8 Hodnotiť:
 

Mne to príde ako výpalné.
Nečudoval by som sa, keby útočníkov platili vydavatelia certifikátov.
Slušný človek aby sa presunul na TOR.
Odpovedať Známka: 5.0 Hodnotiť:
 

V dnesnej dobe ked su certifikaty bezplatne?
Odpovedať Známka: 2.5 Hodnotiť:
 

to je ako diplom, kazdy si moze doma vytlacit svoj a byt si autoritou
Odpovedať Známka: 6.4 Hodnotiť:
 

No ale na to si musis zalozit VS co je podla mna celkom problem. Hlavne dnes mas certifikat od autority zadarmo a dokonca sa skriptom nasadzuje automaticky.
Odpovedať Známka: 3.3 Hodnotiť:
 

Aj z mosta môžu skákať všetci priekazne zadarmo. A tiež je za to certifikát od autority.
Odpovedať Známka: 3.3 Hodnotiť:
 

vylovenie pozostatkov, odvoz, hrobové miesto, kremácia, truhla nič z toho nie je zadarmo. Od státu dostaneš príspevok 70eur a certifikát iba ak ta nájdu a vylovia, ak nie tak platíš odvody ďalej.
Odpovedať Hodnotiť:
 

Aké vylovenie? Šak tu sa všetci projektanti hanbia predložiť čo len návrh úseku diaľnice bez estakád a aspoň trojúrovňovej križovatky. Iba idiot by hľadal most ponad priekazne postačujúci potok.
Odpovedať Známka: 0.0 Hodnotiť:
 

Len aby ťa rumunsky kamionista neodviezol do moldavska, kde ťa vyloží do priekopy, keď bude odplachtovávať.

Bežný nadjazd na certifikát nestačí, maximálne dostaneš príspevok na invalidný vozík.
Odpovedať Hodnotiť:
 

Len im dajte !!!!!!!!!!!!!!!--\\ASCI//---!!!!!!!!!!!!!!!!!
Odpovedať Známka: -5.0 Hodnotiť:
 

divne, mne to browsery zozeru, pritom je tam Entrust cert s expiraciou Wednesday, May 17, 2023 at 4:23:07 PM, vydany v februari - to niekoho bavi manualne nahadzovat cetifikaty kazde mesiace???
Odpovedať Hodnotiť:
 

Nie nebavi. Na co sluzi napr. taky Certbot najdes tu, tu a tu
Odpovedať Hodnotiť:
 

imho, samotná automatická obnova certifikátov slúži len na to, aby bol, čo sa reálnej bezpečnosti týka, kompletný certifikačný proces priekazne ešte väčšia fraška, ako keď ju vôbec čo len umožňuje.
Odpovedať Známka: -4.3 Hodnotiť:
 

certbot vie robit automatizovanu obnovu certifikatu aj s Entrustom?
Odpovedať Hodnotiť:
 

Entrust podporuje ACME protokol, takze ano, certbot funguje s Entrustom
Odpovedať Známka: 6.7 Hodnotiť:
 

vdaka, toto mi nejak uslo.
Odpovedať Hodnotiť:
 

Skôr to vyzerá tak že SSL bol zaplatený pretože " Vydané dňa streda 1. februára 2023 o 15:23:07 " ale nenahodili ho na webku. Stačí si pozrieť dátum vydania certifikátu a čas nedostupnosti webky, a hneď je jasné čo sa stalo :)
Odpovedať Hodnotiť:
 

ako ich tam nahadzujes, lopatú alebo klasicky si zozenies dvoch silnych chlapov?
Odpovedať Hodnotiť:
 

už to ide
Odpovedať Známka: 5.0 Hodnotiť:
 

chvala certifikatu
Odpovedať Známka: 6.0 Hodnotiť:
 

autoritam slava
Odpovedať Známka: 5.0 Hodnotiť:
 

Opravuje klby za 1 hodinu
Odpovedať Hodnotiť:
 

Preto je dobré, že majú aj kamenné predajne. Tu je autoritou SBS služba, ktorej sa niekedy bolo treba preukázať očkovacím certifikátom, ale konzument si potom predsa len mohol nakúpiť, kým cez nefunkčnú stránku, vzhľadom na zneplatnený certifikát, to nešlo. V tom je výhoda dostaviť sa osobne.
Odpovedať Hodnotiť:
 

Rovnako ako SSL môže zlyhať aj SBS...
https://dopice.sk/fzE
Odpovedať Hodnotiť:
 

Prosim vas, poziadajte ministerstvo vnutra o stanovisko k incidentu, preco im cely den nefunguje rezervacny system na portal.minv.sk, sice zrejme incident nevysvetlia, ale aspon to mozno opravia. Diky
Odpovedať Známka: 2.0 Hodnotiť:
 

Vsak ide, len "trochu" pomaly.
Odpovedať Hodnotiť:
 

Fakt uz "ide", ale rano a naobed mi dakde v 3. kroku hodilo 404... Tak som uz ten nekonecny loading povazoval za nepriechodny... Asi zabudli spagaty popolievat...
Odpovedať Hodnotiť:
 

tieto trojmesacne certifikaty(to ani nehovorim o lets encrypt) su neskutocna hovedzina. cisty masochizmus.
Odpovedať Hodnotiť:
 

Mam let's encrypt, spolu s certbot a cron, raz vsetko nastavis a nic nemusis riesit, nevidim tam ziaden masochizmus.
Odpovedať Hodnotiť:
 

Ale ked mas wildcard certifikat, potrebujes zakazdym verifikovat vlastnictvo domeny cez dns zaznamy a tam ti ani cron nepomoze.
Odpovedať Hodnotiť:
 

Verifikacia nie je len cez DNS ale mozes verifikovat aj cez http a to tak, ze ti placne do webroot nasledne to getne cez http, tym sa verifikuje vlastnictvo domen.
Odpovedať Hodnotiť:
 

mna skor nastvalo skratenie platnosti komercnych certifikatov, takze aj ked si zaplatis na 4 roky, tak aby si si kazdy rok nacucal refresnutu verziu :(
Odpovedať Hodnotiť:
 

Je to logické a správne, preto vznikla automatizácia predĺženia SSL (ACME).
Aktuálne mam v správe cez 400 SSL a nevidím v tom žiaden masochizmus. Cron beží, renew prebehne a raz za čas spravím update. Teda aj keby to zuzili na 7 dní je to ok a je tam čas riešiť prípadnú nefunkčnosť.

Ak by ti nahodou niekto odcudzil privátny kľúč tak čítať komunikáciu môže len týždeň nie 4 roky ako by si chcel.

Aktuálne je definovaná max platnosť na cca rok. Aj to sa uvažuje skrátiť na menej.

Meniť SSL a zvyšovať silu šifrovania bude stále potrebné v rámci zvyšovania "bezpečnosti".


Odpovedať Hodnotiť:
 

čo je lepšie - QA tester kurz, Java, C++, - abo Cisco CCNA, CCNP kurz ? čo sa víc oplatí

hmnnnnnnn Q.A.testing..
kontrola kvality a testovanie softvaru..
Odpovedať Známka: -10.0 Hodnotiť:
 

A kuchar/casnik uz mas?
Odpovedať Známka: 7.8 Hodnotiť:
 

Ak sa tym chces zivit, oplati sa cokolvek. Ak nie, je to zrejme zbytocne zabity cas. Pozri si ponuky na pracu kto co hlada a kolko za to ponuka. Jednoduche ako facka.
Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár