Chyba Let's Encrypt postihne 23 000 CZ domén

Certifikační autorita Let's Encrypt je nucena revokovat přes 3 000 000 TLS/SSL certifikátů zabezpečení internetových domén, přes 23 000 z nich českých. Při validaci a kontrole vlastnictví doménového jména se interní validátor Boulder dělal chyby při vyřizování mnohočetných požadavků. Proto budou všechny postižené certifikáty revokovány, 4. březnem počínaje. Týká se CAA problém Let's Encrypt i vás?

 

Chybu objevil vnitřní validátor CAA kódu zvaný Boulder. Boulder, náš CA software, kontroluje CAA záznamy a zároveň validuje platnost vlastnictví domény uživatelem, pro kterého je certifikát vydáván, uvádí nás do problému Jacob Hoffman-Andrews, šéf vývojářů Let's Encrypt. Většina uživatelů použije certifikát okamžitě po validační kontrole, tu nicméně považujeme platnou po dalších 30 dní. To znamená, že v některých případech musíme CAA záznamy zkontrolovat podruhé těsně před vydáním. Konkrétně - CAA musíme zkontrolovat před vydáním certifikátu (dle směrnice BR §3.2.2.8), což znamená, že jakákoliv doména validováno před více než 8 hodinami vyžaduje opětovnou kontrolu.

Chyba spočívala ve vícenásobných požadavcích směřujících na Let's Encrypt. Boulder, místo aby zkontroloval všechny domény, vybral jednu domény z dávky a zkontroloval ji opakovaně počtem požadavků (z N-skupiny vybral 1 doménu a zkontroloval ji N-krát). V důsledku toho mohl uživatel v podstatě používat certifikát Let's Encrypt po čas X + 30 dní, aniž by fakticky prošla CAA kontrolou Let's Encrypt. 

Rychlost opravy Let's Encrypt byla ukázková. 29. února 2020:

• ve 03:08 potvrdili existenci chyby; 
• ve 03:10 zastavili vydávání certifikátů;
• nasadili opravu a 
• v 05:22 opět uvedli v provoz vydávání certifikátů.

Všechny certifikáty Let's Encrypt vydané v době chybné validace budou revokovány, a to počínaje 4. březnem 2020. 

Domény postižené CAA problémem Let's Encrypt

Zda se problém týká i vaší domény můžete prohledáním kompletního seznamu postižených domén, který na GitHubu zveřejnil datový inženýr Ondřej Kokeš. Případně můžete ověřit nejen CZ domény i na stránce https://unboundtest.com/caaproblem.html. Pro správce mnoha domén vydali  Let's Encrypt nástroj pro kontrolu početných seznamů. 

Kokeš si dal i tu práci a ze seznamu CZ domén vytáhl za pomoci dat Alexa.com nejnavštěvovanější domény postižené problémem. Na https://gist.github.com/kokes/ba1bf02dbaeeb5a71b0010cb0db054af najdete kupříkladu nic.cz, kosik.cz či lide.cz.

Zdroje

• Let's Encrypt Community Support
• Image by Gerd Altmann from Pixabay

 

Daniel Beránek, 03.03.2020 19:47

 

 

 

	Spotify nabídne AI playlisty Spotify rozšiřuje hranice personalizované hudby zaváděním AI playlistů, což je beta funkce umožňující Premium uživatelům ve Spojeném království a Austrálii transformovat jakýkoliv nápad na perfektně na míru šitý playlist. Díky...
	Microsoft a OpenAI postaví datacentrum se superpočítačem za 100 mld. USD Microsoft a OpenAI chystají postavit datacentrum se superpočítačem za 100 miliard dolarů. Ambiciózní projekt, známý jako Stargate, slibuje posunout hranice toho, co je možné v datovém zpracování a umělé inteligenci. S plánovaným spuštěním...
	Google zvažuje zpoplatnění AI vyhledávání Svět technologií je opět v pohybu, přičemž gigant Google vážně uvažuje o zásadním kroku - zpoplatnění pokročilých funkcí vyhledávání, které využívají umělou inteligenci (AI). Takovýto krok by mohl změnit základy toho, jak...
	Opera to s AI míní vážně. Nyní nabízí lokální LLMs Opera se snaží co nejvíce využít vlnu AI. Nabízí nejen vlastní AI asistentku Ariu, ale jejím prostřednictvím i spoustu dalších funkcí. Nyní přichází s podporou lokálně spustitelných velkých jazykových modelů, což...