Let’s Encrypt odwoła miliony certyfikatów SSL

Urząd certyfikacji Let’s Encrypt zapowiedział, że w środę (4.03.2020) unieważni 3 miliony certyfikatów SSL z powodu błędu CAA. Może to oznaczać, że miliony stron internetowych chronionych tymi certyfikatami zostaną uznane przez przeglądarki za Niezabezpieczone lub staną się niedostępne.

[Aktualizacja 08.03.2020 r.] Let’s Encrypt wprowadził zmiany. Planowane odwołanie certyfikatów, które miało nastąpić 4/5 marca zostało zawieszone. LE odwołał ważność certyfikatów z grupy tak zwanego wysokiego ryzyka. Dla pozostałych, zostanie zachowana data ważności.

Aktualizacja 08.05.2020

Zapowiedziane zmiany zostały częściowo zniesione. Potencjalne nieprawidłowości i zakłócenia, które – jak argumentują przedstawiciele LE, mogłyby wpłynąć negatywnie na użytkowników i uczestników sieci, stały się powodem dla częściowego zniesienia restrykcji.

Z obawy o potencjalne błędy i niezgodności, które mogłyby dotknąć wiele witryn, a tym samym wzbudzić obawy odwiedzających, ustaliliśmy, że w najlepszym interesie internetu, jest, aby ich data ważności została zachowana do końca terminu. Let’s Encrypt oferuje tylko certyfikaty z okresem ważności 90 dni, więc nieprawidłowości zostaną szybko wyeliminowane z naszego ekosystemu”.

ISRG, Executive Director

Błąd kontroli rekordu CAA

Let’s Encrypt miał odwołać 3 miliony certyfikatów z powodu błędu CAA, który wpłynął na sposób, w jaki jego oprogramowanie sprawdzało własność domeny przed wydaniem certyfikatów. W pewnych sytuacjach kontrola rekordu CAA, która musi być wykonana przed wydaniem certyfikatu, po prostu się nie odbywała.

Błąd jest furtką dla hakerów pozwalającą przejąć kontrolę nad certyfikatem SSL na stronie internetowej i umożliwiającą im podsłuchiwanie ruchu w sieci i gromadzenie poufnych danych.

Opis błędu

„Błąd: gdy żądanie certyfikatu zawierało N nazw domen, które wymagały ponownego sprawdzenia przez CAA, Boulder wybierał jedną nazwę domeny i sprawdzał ją N razy. W praktyce oznacza to, że jeśli subskrybent zweryfikuje nazwę domeny w czasie X, a rekordy CAA dla tej domeny w czasie X zezwoliły na wydanie Let’s Encrypt, ten subskrybent będzie mógł wystawić certyfikat zawierający tę nazwę domeny do X + 30 dni, nawet jeśli ktoś później zainstaluje rekordy CAA w tej nazwie domeny, które zabraniają wydania certyfikatu przez Let’s Encrypt. ”

Let’s Encrypt

Patch

Według Let’s Encrypt błąd został wprowadzony do Bouldera – zautomatyzowanego środowiska zarządzania certyfikatami stosowanego przez LE – już 25 lipca 2019. W momencie, gdy został wykryty, tj. w ostatnią niedzielę, od razu stworzono poprawkę (patch).

Jak twierdzą przedstawiciele Let’s Encrypt naprawienie problemu przez ich użytkowników ma nie stanowić kłopotu.

Czy mój certyfikat działa?

Poszkodowani właściciele certyfikatów – według Let’s Encrypt – mieli zostać powiadomieni e-mailem o konieczności odnowienia i podmiany certyfikatu jeszcze przed 4 marca.

Jeśli problem dotyczy Ciebie, nie wiesz czy otrzymałeś e-mail, nie naprawiałeś błędu po swojej stronie, skorzystaj z narzędzia, które – po wpisaniu domeny (bez http, https) – sprawdzi czy Twoja strona korzysta z wadliwego certyfikatu. Narzędzie znajdziesz na https://checkhost.unboundtest.com/

Mój certyfikat nie działa – co zrobić?

Jeśli masz problem z certyfikatem od Let’s Encrypt na certyfikatyssl.pl znajdziesz komercyjny SSL dopasowany do Twoich potrzeb.

Źródło:
https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591

Dobry tekst? Podziel się!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *