Urząd certyfikacji Let’s Encrypt zapowiedział, że w środę (4.03.2020) unieważni 3 miliony certyfikatów SSL z powodu błędu CAA. Może to oznaczać, że miliony stron internetowych chronionych tymi certyfikatami zostaną uznane przez przeglądarki za Niezabezpieczone lub staną się niedostępne.

[Aktualizacja 08.03.2020 r.]

Let’s Encrypt wprowadził zmiany. Planowane odwołanie certyfikatów, które miało nastąpić 4/5 marca zostało zawieszone. LE odwołał ważność certyfikatów z grupy tak zwanego wysokiego ryzyka. Dla pozostałych, zostanie zachowana data ważności.

[Aktualizacja 08.05.2020]

Zapowiedziane zmiany zostały częściowo zniesione. Potencjalne nieprawidłowości i zakłócenia, które – jak argumentują przedstawiciele LE, mogłyby wpłynąć negatywnie na użytkowników i uczestników sieci, stały się powodem dla częściowego zniesienia restrykcji.

Z obawy o potencjalne błędy i niezgodności, które mogłyby dotknąć wiele witryn, a tym samym wzbudzić obawy odwiedzających, ustaliliśmy, że w najlepszym interesie internetu, jest, aby ich data ważności została zachowana do końca terminu. Let’s Encrypt oferuje tylko certyfikaty z okresem ważności 90 dni, więc nieprawidłowości zostaną szybko wyeliminowane z naszego ekosystemu”.

ISRG, Executive Director

Błąd kontroli rekordu CAA

Let’s Encrypt miał odwołać 3 miliony certyfikatów z powodu błędu CAA, który wpłynął na sposób, w jaki jego oprogramowanie sprawdzało własność domeny przed wydaniem certyfikatów. W pewnych sytuacjach kontrola rekordu CAA, która musi być wykonana przed wydaniem certyfikatu, po prostu się nie odbywała.

Błąd jest furtką dla hakerów pozwalającą przejąć kontrolę nad certyfikatem SSL na stronie internetowej i umożliwiającą im podsłuchiwanie ruchu w sieci i gromadzenie poufnych danych.

Opis błędu

„Błąd: gdy żądanie certyfikatu zawierało N nazw domen, które wymagały ponownego sprawdzenia przez CAA, Boulder wybierał jedną nazwę domeny i sprawdzał ją N razy. W praktyce oznacza to, że jeśli subskrybent zweryfikuje nazwę domeny w czasie X, a rekordy CAA dla tej domeny w czasie X zezwoliły na wydanie Let’s Encrypt, ten subskrybent będzie mógł wystawić certyfikat zawierający tę nazwę domeny do X + 30 dni, nawet jeśli ktoś później zainstaluje rekordy CAA w tej nazwie domeny, które zabraniają wydania certyfikatu przez Let’s Encrypt. ”

Let’s Encrypt

Patch

Według Let’s Encrypt błąd został wprowadzony do Bouldera – zautomatyzowanego środowiska zarządzania certyfikatami stosowanego przez LE – już 25 lipca 2019. W momencie, gdy został wykryty, tj. w ostatnią niedzielę, od razu stworzono poprawkę (patch).

Jak twierdzą przedstawiciele Let’s Encrypt naprawienie problemu przez ich użytkowników ma nie stanowić kłopotu.

Czy mój certyfikat działa?

Poszkodowani właściciele certyfikatów – według Let’s Encrypt – mieli zostać powiadomieni e-mailem o konieczności odnowienia i podmiany certyfikatu jeszcze przed 4 marca.

Jeśli problem dotyczy Ciebie, nie wiesz czy otrzymałeś e-mail, nie naprawiałeś błędu po swojej stronie, skorzystaj z narzędzia, które – po wpisaniu domeny (bez http, https) – sprawdzi czy Twoja strona korzysta z wadliwego certyfikatu. Narzędzie znajdziesz na https://checkhost.unboundtest.com/

Mój certyfikat nie działa – co zrobić?

Jeśli masz problem z certyfikatem od Let’s Encrypt na certyfikatyssl.pl znajdziesz komercyjny SSL dopasowany do Twoich potrzeb.


Chcesz zapewnić najwyższe standardy bezpieczeństwa? Wybierz certyfikat SSL o poziomie walidacji DV, OV i EV.

Źródło:
https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591

Jak podobał Ci się ten artykuł?
5 Liczba ocen: 1

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Poznaj najnowsze wpisy w kategorii Bezpieczeństwo

DMARC - czyli jak zwiększyć bezpieczeństwo korespondencji mailowej

DMARC - czyli jak zwiększyć bezpieczeństwo korespondencji mailowej

Codziennie wysyłamy globalnie setki tysięcy maili. Korespondencja mailowa zrewolucjonizowała komunikację. Bezpieczeństwo, słowo klucz nabiera szczególnego znaczenia. Poznaj rekord DMARC.

Czytaj dalej >>
Certyfikat VMC

Logo Twojej firmy w poczcie e-mail. Poznaj certyfikat VMC

VMC jest rodzajem certyfikatu cyfrowego, który potwierdza autentyczność Twojego logotypu w wiadomości. Oznacza to, że wysyłając e-mail, w skrzynce odbiorczej, adresat zamiast Twoich inicjałów, może zobaczyć logotyp Twojej marki.

Czytaj dalej >>
@Poczta Kwiatowa. Case study

®Poczta Kwiatowa, czyli jak bezpiecznie dostarczyć przesyłkę na drugi koniec świata?

Imieniny, urodziny? A może wyjątkowa rocznica? Lub po prostu, chęć powiedzenia “Dobrze, że jesteś”. Nie ważne czy jesteś blisko, czy daleko. ®Poczta Kwiatowa to rozwiązanie, które jest zawsze na czas.

Czytaj dalej >>