[ Zavřít ] 


 

RSS Kanál

 

Chyba Let's Encrypt postihne 23 000 CZ domén

Certifikační autorita Let's Encrypt je nucena revokovat přes 3 000 000 TLS/SSL certifikátů zabezpečení internetových domén, přes 23 000 z nich českých. Při validaci a kontrole vlastnictví doménového jména se interní validátor Boulder dělal chyby při vyřizování mnohočetných požadavků. Proto budou všechny postižené certifikáty revokovány, 4. březnem počínaje. Týká se CAA problém Let's Encrypt i vás?

 

V komplikovaném procesu validace certifikátů Let's Encrypt nastala CAA chyba (Zdroj: Pixabay.com)

Chybu objevil vnitřní validátor CAA kódu zvaný Boulder. Boulder, náš CA software, kontroluje CAA záznamy a zároveň validuje platnost vlastnictví domény uživatelem, pro kterého je certifikát vydáván, uvádí nás do problému Jacob Hoffman-Andrews, šéf vývojářů Let's Encrypt. Většina uživatelů použije certifikát okamžitě po validační kontrole, tu nicméně považujeme platnou po dalších 30 dní. To znamená, že v některých případech musíme CAA záznamy zkontrolovat podruhé těsně před vydáním. Konkrétně - CAA musíme zkontrolovat před vydáním certifikátu (dle směrnice BR §3.2.2.8), což znamená, že jakákoliv doména validováno před více než 8 hodinami vyžaduje opětovnou kontrolu.

Chyba spočívala ve vícenásobných požadavcích směřujících na Let's Encrypt. Boulder, místo aby zkontroloval všechny domény, vybral jednu domény z dávky a zkontroloval ji opakovaně počtem požadavků (z N-skupiny vybral 1 doménu a zkontroloval ji N-krát). V důsledku toho mohl uživatel v podstatě používat certifikát Let's Encrypt po čas X + 30 dní, aniž by fakticky prošla CAA kontrolou Let's Encrypt. 

Rychlost opravy Let's Encrypt byla ukázková. 29. února 2020:

  • ve 03:08 potvrdili existenci chyby; 
  • ve 03:10 zastavili vydávání certifikátů;
  • nasadili opravu a 
  • v 05:22 opět uvedli v provoz vydávání certifikátů.

Všechny certifikáty Let's Encrypt vydané v době chybné validace budou revokovány, a to počínaje 4. březnem 2020

Domény postižené CAA problémem Let's Encrypt

Zda se problém týká i vaší domény můžete prohledáním kompletního seznamu postižených domén, který na GitHubu zveřejnil datový inženýr Ondřej Kokeš. Případně můžete ověřit nejen CZ domény i na stránce https://unboundtest.com/caaproblem.html. Pro správce mnoha domén vydali  Let's Encrypt nástroj pro kontrolu početných seznamů. 

Kokeš si dal i tu práci a ze seznamu CZ domén vytáhl za pomoci dat Alexa.com nejnavštěvovanější domény postižené problémem. Na https://gist.github.com/kokes/ba1bf02dbaeeb5a71b0010cb0db054af najdete kupříkladu nic.cz, kosik.cz či lide.cz.

Zdroje

 

 

 

 

 

DNS CR: čínský scam v češtině

„Někdo se snaží zaregistrovat doménu s Vaším obchodním jménem,“ to už to bylo. Konkrétně před třemi lety se snažili zákeřní vyděrači naivních pod jménem China Registry a dalšími jmény. Nějakému bludnému Holanďanovi se...

Notebook s Chrome 86 pojede o pár hodin déle

Vývojáři Chrome právě testují fičuru, která by měla významně snížit energetickou náročnost prohlížeče. Týká se JavaScriptu, a to konkrétně toho běžícího v panelech na pozadí. Jeho časovače, které neustále probouzí k aktivitě...

Microsoft rozdává Penbook

Penbook, poznámkový náčrtník, co snese dotykové pero, prst i myš, je až do 4. července 2020 zdarma. Stačí zamířit do aplikačního obchodu Microsoft Store a nainstalovat si jej právě touto cestou. Získáte tak elektronickou tabuli k zápisu všeho...

Květnový update sníží spotřebu RAM Chromií

Google Chrome, Microsoft Edge a všechny prohlížeče běžící na jádru Chromium čeká významné snížení potřeby operační paměti, a to díky nové fičuře Windows 10 uvolňované s květnovým povýšením. Jde o SegmentHeap, funkcionalitu...


 
© 2005-2020 PS Media s.r.o. - digital world
 

reklama