Let’s Encrypt odwoła miliony certyfikatów SSL

Urząd certyfikacji Let’s Encrypt zapowiedział, że w środę (4.03.2020) unieważni 3 miliony certyfikatów SSL z powodu błędu CAA. Może to oznaczać, że miliony stron internetowych chronionych tymi certyfikatami zostaną uznane przez przeglądarki za Niezabezpieczone lub staną się niedostępne.

Błąd kontroli rekordu CAA

Let’s Encrypt musiał odwołać 3 miliony certyfikatów z powodu błędu CAA, który wpłynął na sposób, w jaki jego oprogramowanie sprawdzało własność domeny przed wydaniem certyfikatów. W pewnych sytuacjach kontrola rekordu CAA, która musi być wykonana przed wydaniem certyfikatu, po prostu się nie odbywała.

Błąd jest furtką dla hakerów pozwalającą przejąć kontrolę nad certyfikatem SSL na stronie internetowej i umożliwiającą im podsłuchiwanie ruchu w sieci i gromadzenie poufnych danych.

Opis błędu

„Błąd: gdy żądanie certyfikatu zawierało N nazw domen, które wymagały ponownego sprawdzenia przez CAA, Boulder wybierał jedną nazwę domeny i sprawdzał ją N razy. W praktyce oznacza to, że jeśli subskrybent zweryfikuje nazwę domeny w czasie X, a rekordy CAA dla tej domeny w czasie X zezwoliły na wydanie Let’s Encrypt, ten subskrybent będzie mógł wystawić certyfikat zawierający tę nazwę domeny do X + 30 dni, nawet jeśli ktoś później zainstaluje rekordy CAA w tej nazwie domeny, które zabraniają wydania certyfikatu przez Let’s Encrypt. ”

Let’s Encrypt

Patch

Według Let’s Encrypt błąd został wprowadzony do Bouldera – zautomatyzowanego środowiska zarządzania certyfikatami stosowanego przez LE – już 25 lipca 2019. W momencie, gdy został wykryty, tj. w ostatnią niedzielę, od razu stworzono poprawkę (patch).

Jak twierdzą przedstawiciele Let’s Encrypt naprawienie problemu przez ich użytkowników ma nie stanowić kłopotu.

Czy mój certyfikat działa?

Poszkodowani właściciele certyfikatów – według Let’s Encrypt – mieli zostać powiadomieni e-mailem o konieczności odnowienia i podmiany certyfikatu jeszcze przed 4 marca.

Jeśli problem dotyczy Ciebie, nie wiesz czy otrzymałeś e-mail, nie naprawiałeś błędu po swojej stronie, skorzystaj z narzędzia, które – po wpisaniu domeny (bez http, https) – sprawdzi czy Twoja strona korzysta z wadliwego certyfikatu. Narzędzie znajdziesz na https://checkhost.unboundtest.com/

Mój certyfikat nie działa – co zrobić?

Jeśli masz problem z certyfikatem od Let’s Encrypt na certyfikatyssl.pl znajdziesz komercyjny SSL dopasowany do Twoich potrzeb.

Dobry tekst? Podziel się!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *