[ Zavřít ] 


 

RSS Kanál

 

Chyba Let's Encrypt postihne 23 000 CZ domén

Certifikační autorita Let's Encrypt je nucena revokovat přes 3 000 000 TLS/SSL certifikátů zabezpečení internetových domén, přes 23 000 z nich českých. Při validaci a kontrole vlastnictví doménového jména se interní validátor Boulder dělal chyby při vyřizování mnohočetných požadavků. Proto budou všechny postižené certifikáty revokovány, 4. březnem počínaje. Týká se CAA problém Let's Encrypt i vás?

 

V komplikovaném procesu validace certifikátů Let's Encrypt nastala CAA chyba (Zdroj: Pixabay.com)

Chybu objevil vnitřní validátor CAA kódu zvaný Boulder. Boulder, náš CA software, kontroluje CAA záznamy a zároveň validuje platnost vlastnictví domény uživatelem, pro kterého je certifikát vydáván, uvádí nás do problému Jacob Hoffman-Andrews, šéf vývojářů Let's Encrypt. Většina uživatelů použije certifikát okamžitě po validační kontrole, tu nicméně považujeme platnou po dalších 30 dní. To znamená, že v některých případech musíme CAA záznamy zkontrolovat podruhé těsně před vydáním. Konkrétně - CAA musíme zkontrolovat před vydáním certifikátu (dle směrnice BR §3.2.2.8), což znamená, že jakákoliv doména validováno před více než 8 hodinami vyžaduje opětovnou kontrolu.

Chyba spočívala ve vícenásobných požadavcích směřujících na Let's Encrypt. Boulder, místo aby zkontroloval všechny domény, vybral jednu domény z dávky a zkontroloval ji opakovaně počtem požadavků (z N-skupiny vybral 1 doménu a zkontroloval ji N-krát). V důsledku toho mohl uživatel v podstatě používat certifikát Let's Encrypt po čas X + 30 dní, aniž by fakticky prošla CAA kontrolou Let's Encrypt. 

Rychlost opravy Let's Encrypt byla ukázková. 29. února 2020:

  • ve 03:08 potvrdili existenci chyby; 
  • ve 03:10 zastavili vydávání certifikátů;
  • nasadili opravu a 
  • v 05:22 opět uvedli v provoz vydávání certifikátů.

Všechny certifikáty Let's Encrypt vydané v době chybné validace budou revokovány, a to počínaje 4. březnem 2020

Domény postižené CAA problémem Let's Encrypt

Zda se problém týká i vaší domény můžete prohledáním kompletního seznamu postižených domén, který na GitHubu zveřejnil datový inženýr Ondřej Kokeš. Případně můžete ověřit nejen CZ domény i na stránce https://unboundtest.com/caaproblem.html. Pro správce mnoha domén vydali  Let's Encrypt nástroj pro kontrolu početných seznamů. 

Kokeš si dal i tu práci a ze seznamu CZ domén vytáhl za pomoci dat Alexa.com nejnavštěvovanější domény postižené problémem. Na https://gist.github.com/kokes/ba1bf02dbaeeb5a71b0010cb0db054af najdete kupříkladu nic.cz, kosik.cz či lide.cz.

Zdroje

 

 

 

 

 

Kyberobrana varuje před podvodnými nabídkami pomoci

Národní úřad pro kybernetickou a informační bezpečnost varuje před zákeřným sociálním inženýrstvím snažícím se dostat do IT sítí cílených subjektů malware pod rouškou solidárních nabídek bezplatného či...

COVID-19 ucpává internetové přípojky

Koronavirus ucpává nejen horní cesty dýchací a prostor veřejné diskuze, ale také internetové přípojky. Karanténa rapidně zvyšuje využívání internetu, a to vede k poklesu jeho svižnosti. Kvůli zachování operativních kapacit...

Doporučené dopisy zdarma: přes datovku a právě teď

Mimořádná situace si žádá mimořádných opatření. Poštovní datová zpráva, ekvivalent doporučeného dopisu, je nyní zdarma, a to i pro komunikaci mezi občany a firmami. Chcete-li mít zdarma ověřené doručení liebesbriefů milovaným a...

Seznam Vás v tom nenechá!

Jste v tom? Tak nebojte. Seznam vás v tom nenechá. Tedy pokud za to nenechání nepočítáte něco víc než jenom peníze. A ani ty peníze nejsou tak úplně peníze, ale spíš prostor na reklamu. A ani ten reklamní prostor nebude úplně celý...


 
© 2005-2020 PS Media s.r.o. - digital world
 

reklama