neprihlásený Piatok, 13. decembra 2024, dnes má meniny Lucia
Let's Encrypt stiahla kontroverzný plán, zneplatila iba stovky nevymenených certifikátov

Značky: webbezpečnosťSSL / TLS

DSL.sk, 5.3.2020


Certifikačná autorita Let's Encrypt sa nakoniec niekoľko hodín pred avizovaným finálnym termínom zneplatnenia veľkého množstva certifikátov rozhodla neuskutočniť toto masové zneplatnenie a zneplatila len už vymenené certifikáty alebo tie, u ktorých to bolo naozaj najviac potrebné.

Ako sme informovali v tomto článku, pre chybu v kontrole DNS záznamov typu Certification Authority Authorization, CAA, ktorými môžu držitelia domén cez DNS obmedziť certifikačné autority oprávnené vydávať pre danú doménu certifikáty, sa rozhodla Let's Encrypt pôvodne zneplatiť viac ako 3 milióny certifikátov.

Išlo o všetky certifikáty, pri vydaní ktorých neboli dodržané pravidlá. Dodržané konkrétne nebolo skontrolovanie CAA záznamov najviac osem hodín pred vydaním certifikátu, ktorý bol pre viac domén, ich držanie bolo preukázané pred menej ako 30 dňami ale viac ako 8 hodinami.

Ako sme upozorňovali, tento plán bol ale najmä v avizovanom harmonograme a vzhľadom na dopady kontroverzný. Popísaný problém automaticky neznamená ohrozenie bezpečnosti u všetkých certifikátov a masové kompromitovanie vydávania certifikátov, žiadatelia o certifikáty stále museli preukázať držanie domény cez web alebo DNS. Záznamy CAA podľa dostupných informácií využíva len malá časť domén.

Plán mal navyše veľmi prísny harmonogram, Let's Encrypt pôvodne spomínala termín 4. marca 1:00, neskôr avizovala začiatok zneplatňovania na 4. marca 21:00 a dokončiť ho plánovala do 5. marca 4:00. Zneplatňovanie ale oznámila na svojom diskusnom fóre len 3. marca a v emailoch užívateľom, ktorí mali zaregistrovaný email. Kedy bola doručená aká časť emailov nie je jasné, časť užívateľov ale nemá registrovaný email.

V noci na dnes nakoniec riaditeľ ISRG prevádzkujúcej Let's Encrypt ale oznámil výraznú zmenu plánu. Do 4:00 podľa neho stále nebolo vymenených viac ako 1 milión certifikátov a aby neprišlo k znefunkčneniu takéhoto veľkého počtu stránok, Let's Encrypt sa rozhodla nakoniec všetky predmetné certifikáty nezneplatniť.

Zneplatnila zatiaľ iba niečo viac ako 1.7 milióna certifikátov, u ktorých si je istá že boli užívateľmi už nahradené. Ďalej zneplatnila iba 445 certifikátov bez ohľadu na to, či boli nahradené, u ktorých zrejme prišlo naozaj k vydaniu v rozpore s pravidlami a nastaveniami. Ide o certifikáty s doménami, ktoré mali v čase zistenia problému nastavený CAA záznam nedovoľujúci vydanie certifikátu certifikačnou autoritou Let's Encrypt.

Ako prišlo k žiadosti o vydanie týchto 445 certifikátov napriek nastaveným CAA záznamov zabraňujúcim vydanie autoritou Let's Encrypt a v koľkých prípadoch išlo o aké dôvody nie je jasné.

Let's Encrypt avizuje, že plánuje ešte zneplatniť aj ďalšie certifikáty ale tak aby užívateľom neznefunkčnila web. Aké presne certifikáty zneplatní neavizuje.

Certifikáty od Let's Encrypt majú platnosť 90 dní a nezneplatnené, pri vydaní ktorých neboli dodržané pravidlá, tak postupne všetky expirujú do necelých troch mesiacov.


      Zdieľaj na Twitteri



Najnovšie články:

Sonda NASA sa na Vianoce dostane najbližšie k Slnku
K dispozícii beta Linux Mint 22.1
Ďalší významný výrobca končí s Blu-ray prehrávačmi
Google zlepšil v Androide ochranu proti sledovaniu Bluetooth značkami
NASA má vysvetlenie havárie helikoptéry na Marse, naďalej komunikuje
Let’s Encrypt začne budúci rok poskytovať certifikáty platné iba 6 dní
Zákazníci Orangu sa čoskoro nepripoja na TCP port 25, operátor ho začne blokovať
Celoštátne DVB-T uskutočnilo dve zmeny
Uvedený SSD pre PCI Express 5.0 s cenou 100 dolárov
Na Amazone sa začali predávať už aj nové autá


Diskusia:
                               
 

Pri vytváraní certifikátov som si všimol, že dotaz aj pre druhú doménu išiel s menom prvej, takže stačilo požiadať o vydanie "mojadomena.tld, cudziadomena.tld" a LE vydal platný certifikát pre obe domény. Bolo to veľmi jednoducho zneužiteľné.
Odpovedať Hodnotiť:
 

Pri takom predvedení sľubovanej apokalypsy to priekazne ani na celkom malú sektičku nevydá.
Odpovedať Známka: 6.7 Hodnotiť:
 

Tusim na dsl som cital zranitelnost https. Tak naco to cele sifrovanie ked su backdoory este aj v biose diskov. To len dava konkurencnu vyhodu stvoritelovi hw/sw. Pre rovnost sanci otvorene a bez sifrovania. Mozno digitalne podpisy a hotovo.
Odpovedať Známka: -5.0 Hodnotiť:
 

odporucam tuto logiku aplikovat aj na zamok dveri svojho domu
Odpovedať Známka: 6.7 Hodnotiť:
 

cim viac to utocnikovi stazis, tym mensi zaujem bude mat v utoku pokracovat, resp. bude ho to stat viac zdrojov.
Nesifrovany disk si vie pozriet i ked bootoval system z usb.
Backdoor musi poznat, a musi mat vacsie zrucnosti a znalosti.
Odpovedať Hodnotiť:

Pridať komentár