Urząd certyfikacji Let’s Encrypt zapowiedział, że w środę (4.03.2020) unieważni 3 miliony certyfikatów SSL z powodu błędu CAA. Może to oznaczać, że miliony stron internetowych chronionych tymi certyfikatami zostaną uznane przez przeglądarki za Niezabezpieczone lub staną się niedostępne.

[Aktualizacja 08.03.2020 r.]

Let’s Encrypt wprowadził zmiany. Planowane odwołanie certyfikatów, które miało nastąpić 4/5 marca zostało zawieszone. LE odwołał ważność certyfikatów z grupy tak zwanego wysokiego ryzyka. Dla pozostałych, zostanie zachowana data ważności.

[Aktualizacja 08.05.2020]

Zapowiedziane zmiany zostały częściowo zniesione. Potencjalne nieprawidłowości i zakłócenia, które – jak argumentują przedstawiciele LE, mogłyby wpłynąć negatywnie na użytkowników i uczestników sieci, stały się powodem dla częściowego zniesienia restrykcji.

Z obawy o potencjalne błędy i niezgodności, które mogłyby dotknąć wiele witryn, a tym samym wzbudzić obawy odwiedzających, ustaliliśmy, że w najlepszym interesie internetu, jest, aby ich data ważności została zachowana do końca terminu. Let’s Encrypt oferuje tylko certyfikaty z okresem ważności 90 dni, więc nieprawidłowości zostaną szybko wyeliminowane z naszego ekosystemu”.

ISRG, Executive Director

Błąd kontroli rekordu CAA

Let’s Encrypt miał odwołać 3 miliony certyfikatów z powodu błędu CAA, który wpłynął na sposób, w jaki jego oprogramowanie sprawdzało własność domeny przed wydaniem certyfikatów. W pewnych sytuacjach kontrola rekordu CAA, która musi być wykonana przed wydaniem certyfikatu, po prostu się nie odbywała.

Błąd jest furtką dla hakerów pozwalającą przejąć kontrolę nad certyfikatem SSL na stronie internetowej i umożliwiającą im podsłuchiwanie ruchu w sieci i gromadzenie poufnych danych.

Opis błędu

„Błąd: gdy żądanie certyfikatu zawierało N nazw domen, które wymagały ponownego sprawdzenia przez CAA, Boulder wybierał jedną nazwę domeny i sprawdzał ją N razy. W praktyce oznacza to, że jeśli subskrybent zweryfikuje nazwę domeny w czasie X, a rekordy CAA dla tej domeny w czasie X zezwoliły na wydanie Let’s Encrypt, ten subskrybent będzie mógł wystawić certyfikat zawierający tę nazwę domeny do X + 30 dni, nawet jeśli ktoś później zainstaluje rekordy CAA w tej nazwie domeny, które zabraniają wydania certyfikatu przez Let’s Encrypt. ”

Let’s Encrypt

Patch

Według Let’s Encrypt błąd został wprowadzony do Bouldera – zautomatyzowanego środowiska zarządzania certyfikatami stosowanego przez LE – już 25 lipca 2019. W momencie, gdy został wykryty, tj. w ostatnią niedzielę, od razu stworzono poprawkę (patch).

Jak twierdzą przedstawiciele Let’s Encrypt naprawienie problemu przez ich użytkowników ma nie stanowić kłopotu.

Czy mój certyfikat działa?

Poszkodowani właściciele certyfikatów – według Let’s Encrypt – mieli zostać powiadomieni e-mailem o konieczności odnowienia i podmiany certyfikatu jeszcze przed 4 marca.

Jeśli problem dotyczy Ciebie, nie wiesz czy otrzymałeś e-mail, nie naprawiałeś błędu po swojej stronie, skorzystaj z narzędzia, które – po wpisaniu domeny (bez http, https) – sprawdzi czy Twoja strona korzysta z wadliwego certyfikatu. Narzędzie znajdziesz na https://checkhost.unboundtest.com/

Mój certyfikat nie działa – co zrobić?

Jeśli masz problem z certyfikatem od Let’s Encrypt na certyfikatyssl.pl znajdziesz komercyjny SSL dopasowany do Twoich potrzeb.


Chcesz zapewnić najwyższe standardy bezpieczeństwa? Wybierz certyfikat SSL o poziomie walidacji DV, OV i EV.

Źródło:
https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591

Jak podobał Ci się ten artykuł?
5 Liczba ocen: 1

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Poznaj najnowsze wpisy w kategorii Bezpieczeństwo

Itaka. Świadomie do celu

Itaka. Świadomie do celu

Itaka od 32 lat kreuje dla nas niezapomniane doświadczenia podróżnicze. Zaszczytny tytuł lidera wśród polskich biur podróży zobowiązuje do ciągłego poszerzania portfolio usług. Nie mniej ważna jest świadoma obecność w sieci i ciągłe podejmowanie działań wspierających bezpieczeństwo użytkowników.

Czytaj dalej >>
Domena .eu. Europejskie standardy bezpieczeństwa.

Domena .eu - europejskie standardy bezpieczeństwa

Domena europejska to jedna z najchętniej rejestrowanych domen na świecie. Jak rozwijała się domena .eu i jakie priorytety w zakresie jej bezpiecznego użytkowania wprowadza EURid?

Czytaj dalej >>

Dr Irena Eris - sukces pisany pasją

Wiedza, determinacja, a przede wszystkim pasja to motywacja, która nakręca do działania. Maksyma, którą od lat wyznaje założycielka marki Dr Irena Eris, pozwoliła przekuć idee w sukces i stać się wiodącą marką kosmetyczną na mapie Europy.

Czytaj dalej >>