neprihlásený Utorok, 7. júla 2020, dnes má meniny Oliver
Let's Encrypt stiahla kontroverzný plán, zneplatila iba stovky nevymenených certifikátov

Značky: webbezpečnosťSSL / TLS

DSL.sk, 5.3.2020


Certifikačná autorita Let's Encrypt sa nakoniec niekoľko hodín pred avizovaným finálnym termínom zneplatnenia veľkého množstva certifikátov rozhodla neuskutočniť toto masové zneplatnenie a zneplatila len už vymenené certifikáty alebo tie, u ktorých to bolo naozaj najviac potrebné.

Ako sme informovali v tomto článku, pre chybu v kontrole DNS záznamov typu Certification Authority Authorization, CAA, ktorými môžu držitelia domén cez DNS obmedziť certifikačné autority oprávnené vydávať pre danú doménu certifikáty, sa rozhodla Let's Encrypt pôvodne zneplatiť viac ako 3 milióny certifikátov.

Išlo o všetky certifikáty, pri vydaní ktorých neboli dodržané pravidlá. Dodržané konkrétne nebolo skontrolovanie CAA záznamov najviac osem hodín pred vydaním certifikátu, ktorý bol pre viac domén, ich držanie bolo preukázané pred menej ako 30 dňami ale viac ako 8 hodinami.

Ako sme upozorňovali, tento plán bol ale najmä v avizovanom harmonograme a vzhľadom na dopady kontroverzný. Popísaný problém automaticky neznamená ohrozenie bezpečnosti u všetkých certifikátov a masové kompromitovanie vydávania certifikátov, žiadatelia o certifikáty stále museli preukázať držanie domény cez web alebo DNS. Záznamy CAA podľa dostupných informácií využíva len malá časť domén.

Plán mal navyše veľmi prísny harmonogram, Let's Encrypt pôvodne spomínala termín 4. marca 1:00, neskôr avizovala začiatok zneplatňovania na 4. marca 21:00 a dokončiť ho plánovala do 5. marca 4:00. Zneplatňovanie ale oznámila na svojom diskusnom fóre len 3. marca a v emailoch užívateľom, ktorí mali zaregistrovaný email. Kedy bola doručená aká časť emailov nie je jasné, časť užívateľov ale nemá registrovaný email.

V noci na dnes nakoniec riaditeľ ISRG prevádzkujúcej Let's Encrypt ale oznámil výraznú zmenu plánu. Do 4:00 podľa neho stále nebolo vymenených viac ako 1 milión certifikátov a aby neprišlo k znefunkčneniu takéhoto veľkého počtu stránok, Let's Encrypt sa rozhodla nakoniec všetky predmetné certifikáty nezneplatniť.

Zneplatnila zatiaľ iba niečo viac ako 1.7 milióna certifikátov, u ktorých si je istá že boli užívateľmi už nahradené. Ďalej zneplatnila iba 445 certifikátov bez ohľadu na to, či boli nahradené, u ktorých zrejme prišlo naozaj k vydaniu v rozpore s pravidlami a nastaveniami. Ide o certifikáty s doménami, ktoré mali v čase zistenia problému nastavený CAA záznam nedovoľujúci vydanie certifikátu certifikačnou autoritou Let's Encrypt.

Ako prišlo k žiadosti o vydanie týchto 445 certifikátov napriek nastaveným CAA záznamov zabraňujúcim vydanie autoritou Let's Encrypt a v koľkých prípadoch išlo o aké dôvody nie je jasné.

Let's Encrypt avizuje, že plánuje ešte zneplatniť aj ďalšie certifikáty ale tak aby užívateľom neznefunkčnila web. Aké presne certifikáty zneplatní neavizuje.

Certifikáty od Let's Encrypt majú platnosť 90 dní a nezneplatnené, pri vydaní ktorých neboli dodržané pravidlá, tak postupne všetky expirujú do necelých troch mesiacov.


      Zdieľaj na Twitteri



Najnovšie články:

H.266 zrejme dokončený, videá budú oproti H.265 menšie až o 50%
Chrome na Androide bude čoskoro 64-bitový
Dieťa minulo v hre na smartfóne tisícky z platobnej karty otca
Pre americké nepokoje menia softvérovú terminológiu aj MySQL a Twitter
Chrome testuje výrazné zlepšenie spotreby a výdrže, výrazným obmedzením webov
Súkromnej spoločnosti sa nepodaril štart rakety so 7 satelitmi
Konkurenta Starlinku zachraňuje britská vláda, chce ho využiť aj na vlastný GPS
Samsung potvrdil potrebu opravy Blu-ray prehrávačov, aj v SR zadarmo
Google ponúkal dostupnejší Pixel 3a len rok, končí
Intel zostáva výrazne najväčším výrobcom čipov


Diskusia:
                               
 

Pri vytváraní certifikátov som si všimol, že dotaz aj pre druhú doménu išiel s menom prvej, takže stačilo požiadať o vydanie "mojadomena.tld, cudziadomena.tld" a LE vydal platný certifikát pre obe domény. Bolo to veľmi jednoducho zneužiteľné.
Odpovedať Hodnotiť:
 

Pri takom predvedení sľubovanej apokalypsy to priekazne ani na celkom malú sektičku nevydá.
Odpovedať Známka: 6.7 Hodnotiť:
 

Tusim na dsl som cital zranitelnost https. Tak naco to cele sifrovanie ked su backdoory este aj v biose diskov. To len dava konkurencnu vyhodu stvoritelovi hw/sw. Pre rovnost sanci otvorene a bez sifrovania. Mozno digitalne podpisy a hotovo.
Odpovedať Známka: -5.0 Hodnotiť:
 

odporucam tuto logiku aplikovat aj na zamok dveri svojho domu
Odpovedať Známka: 6.7 Hodnotiť:
 

cim viac to utocnikovi stazis, tym mensi zaujem bude mat v utoku pokracovat, resp. bude ho to stat viac zdrojov.
Nesifrovany disk si vie pozriet i ked bootoval system z usb.
Backdoor musi poznat, a musi mat vacsie zrucnosti a znalosti.
Odpovedať Hodnotiť:

Pridať komentár