Chyba Let's Encrypt postihne 23 000 CZ domén

Certifikační autorita Let's Encrypt je nucena revokovat přes 3 000 000 TLS/SSL certifikátů zabezpečení internetových domén, přes 23 000 z nich českých. Při validaci a kontrole vlastnictví doménového jména se interní validátor Boulder dělal chyby při vyřizování mnohočetných požadavků. Proto budou všechny postižené certifikáty revokovány, 4. březnem počínaje. Týká se CAA problém Let's Encrypt i vás?

 

Chybu objevil vnitřní validátor CAA kódu zvaný Boulder. Boulder, náš CA software, kontroluje CAA záznamy a zároveň validuje platnost vlastnictví domény uživatelem, pro kterého je certifikát vydáván, uvádí nás do problému Jacob Hoffman-Andrews, šéf vývojářů Let's Encrypt. Většina uživatelů použije certifikát okamžitě po validační kontrole, tu nicméně považujeme platnou po dalších 30 dní. To znamená, že v některých případech musíme CAA záznamy zkontrolovat podruhé těsně před vydáním. Konkrétně - CAA musíme zkontrolovat před vydáním certifikátu (dle směrnice BR §3.2.2.8), což znamená, že jakákoliv doména validováno před více než 8 hodinami vyžaduje opětovnou kontrolu.

Chyba spočívala ve vícenásobných požadavcích směřujících na Let's Encrypt. Boulder, místo aby zkontroloval všechny domény, vybral jednu domény z dávky a zkontroloval ji opakovaně počtem požadavků (z N-skupiny vybral 1 doménu a zkontroloval ji N-krát). V důsledku toho mohl uživatel v podstatě používat certifikát Let's Encrypt po čas X + 30 dní, aniž by fakticky prošla CAA kontrolou Let's Encrypt. 

Rychlost opravy Let's Encrypt byla ukázková. 29. února 2020:

• ve 03:08 potvrdili existenci chyby; 
• ve 03:10 zastavili vydávání certifikátů;
• nasadili opravu a 
• v 05:22 opět uvedli v provoz vydávání certifikátů.

Všechny certifikáty Let's Encrypt vydané v době chybné validace budou revokovány, a to počínaje 4. březnem 2020. 

Domény postižené CAA problémem Let's Encrypt

Zda se problém týká i vaší domény můžete prohledáním kompletního seznamu postižených domén, který na GitHubu zveřejnil datový inženýr Ondřej Kokeš. Případně můžete ověřit nejen CZ domény i na stránce https://unboundtest.com/caaproblem.html. Pro správce mnoha domén vydali  Let's Encrypt nástroj pro kontrolu početných seznamů. 

Kokeš si dal i tu práci a ze seznamu CZ domén vytáhl za pomoci dat Alexa.com nejnavštěvovanější domény postižené problémem. Na https://gist.github.com/kokes/ba1bf02dbaeeb5a71b0010cb0db054af najdete kupříkladu nic.cz, kosik.cz či lide.cz.

Zdroje

• Let's Encrypt Community Support
• Image by Gerd Altmann from Pixabay

 

Daniel Beránek, 03.03.2020 19:47

 

 

 

	Jarní aktualizace ZPS X: AI úpravy fotek rychleji, chytřeji, přesněji Český software Zoner Photo Studio X přichází s jarní aktualizací, která posouvá hranice fotoeditace na novou úroveň. Díky pokročilým AI nástrojům a dalším inovacím je práce s fotografiemi rychlejší, preciznější...
	Mistral Small 3: malý, ale s velkými možnostmi Francouzští vývojáři Mistral, známí svou láskou k open-source, přichází s novým AI modelem Mistral Small 3. S 24 miliardami parametrů je sice menší než konkurenční obři, zato však nabízí rychlost, nízké...
	DeepSeek R1 a Qwen2.5-Max: přijde osvěžení AI z Číny? Nové AI modely DeepSeek R1 a Qwen2.5-Max představují dva odlišné přístupy k tréninku a provozním nárokům, které by mohly zásadně ovlivnit budoucí vývoj umělé inteligence. Zatímco DeepSeek R1 se profiluje jako model postavený na...
	Grok od xAI: první kroky v podobě samostatné aplikace Grok, umělý inteligentní asistent od společnosti xAI, udělal další krok na cestě k větší dostupnosti. Coby samostatná aplikace se šíří na další platformy. Co Grok nabídne, kde ho již můžeme vyzkoušet a co teprve přijde? ...