Bezpieczeństwo
Let’s Encrypt unieważni miliony certyfikatów SSL
Co znajdziesz w tym artykule:
Darmowe certyfikaty wydawane automatycznie przez Let’s Encrypt zostaną cofnięte! Zmiana nastąpi 4 marca 2020 roku. Wszystko za sprawą błędu w kodzie automatycznego zarządzania certyfikatami LE. Efekt? Strony korzystające z bezpłatnej certyfikacji SSL mogą zostać uznane, jako niezabezpieczone, a w najgorszym wypadku będą niedostępne.
Automatyczna certyfikacja
Let’s Encrypt to bezpłatny certyfikat wydawany automatycznie. Użytkowników korzystających z zabezpieczenia czeka niemiła niespodzianka. W środę (4.03.2020 r.) jego wydawca poinformował o cofnięciu części wydanych certyfikatów. 3 miliony użytkowników straci zabezpieczenie SSL. Wszystko za sprawą błędu CAA. O zaistniałej sytuacji użytkownicy mieli zostać poinformowali jeszcze przed 4 marca. Wówczas drogą mailową został wysłany komunikat o bieżącej sytuacji ze wskazaniem konieczności odnowienia certyfikatu.
Let’s Encrypt. Błąd CAA
3 miliony certyfikatów SSL zostanie unieważnionych. O tym fakcie, poinformowali przedstawiciele Let’s Encrypt. Wszystko za sprawą błędu CAA, który wpłynął na sposób w jaki oprogramowanie sprawdzało własność domeny przed wydaniem certyfikatów. Jak tłumaczy Josh Aas, Executive Director, podczas aktualizacji wprowadzono błąd w kodzie, który spowodował, że została pominięta kontrola, którą obligatoryjnie należy przeprowadzić przed wydaniem certyfikatu.
„Błąd: gdy żądanie certyfikatu zawierało N nazw domen, które wymagały ponownego sprawdzenia przez CAA, Boulder wybierał jedną nazwę domeny i sprawdzał ją N razy. W praktyce oznacza to, że jeśli subskrybent zweryfikuje nazwę domeny w czasie X, a rekordy CAA dla tej domeny w czasie X zezwoliły na wydanie Let’s Encrypt, ten subskrybent będzie mógł wystawić certyfikat zawierający tę nazwę domeny do X + 30 dni, nawet jeśli ktoś później zainstaluje rekordy CAA w tej nazwie domeny, które zabraniają wydania certyfikatu przez Let’s Encrypt. ”
Gratka dla hakerów
Zaistniała sytuacja stanowić może nie lada gratkę dla hakerów. Błąd może spowodować przejęcie kontroli nad certyfikatem SSL na stronie internetowej. A to oznacza możliwość podsłuchiwania ruchu sieciowego i gromadzenie danych użytkowników. Przechwycenie, a tym samym wykorzystanie informacji przez niepowołane osoby niesie szereg przykrych konsekwencji, o których nie raz informowaliśmy na naszym blogu.
Korzystasz z certyfikatu LE? Sprawdź status strony
Użytkownicy certyfikatów zostali poinformowani o całej sytuacji. Jak informuje Let’s Encrypt taka informacja trafiła jeszcze przed 4 marca. Poprzez wiadomość e-mail użytkownicy mieli dostać wiadomość o konieczności odnowienia i podmiany certyfikatu. Jeżeli chcesz sprawdzić status Twojej strony wejdź na swoją witrynę zabezpieczoną certyfikatem SSL od Let’s Encrypt i zobacz czy przeglądarka wyświetla ostrzeżenia typowe dla niezabezpieczonych stron.
Możesz też skorzystać z narzędzia, które – po wpisaniu domeny – sprawdzi czy Twoja strona korzysta z wadliwego certyfikatu. Narzędzie znajdziesz na https://checkhost.unboundtest.com/
Co się stanie jeżeli nie podejmiesz żadnego działania? Twoja strona będzie wyglądać, jak poniżej:
Źródło: https://scotthelme.co.uk/lets-encrypt-to-revoke/
Klienci Kei.pl mogą spać spokojnie
Klienci Kei.pl korzystający z Let’s Ecrypt mogą być spokojni o swoje strony www i certyfikaty. Problem został już naprawiony przez naszych administratorów. Klienci nie są zobligowani do żadnych działań.
Poczytaj więcej na naszym blogu
-
Firefox Private Relay
Private Relay to nowy dodatek Firefoxa, który wypowiada skutecznie nie - niechcianym wiadomościom. Usługa pozwala na tworzenie aliasów. -
Certyfikaty SSL – tylko na rok
Certyfikaty SSL tylko na rok. Apple ogłosił, że z dniem 1 września 2020 roku nie będzie uznawał certyfikatów SSL powyżej 398 dni.