Hlavní navigace

Let's Encrypt začíná validovat žádosti o certifikáty z různých míst

Ondřej Caletka

Až doposud stačil k ověření držení domény pro získání certifikátu od bezplatné certifikační autority jediný HTTP nebo DNS dotaz. Od dnešního dne se požadavky zpřísňují, takže získat cizí certifikát bude o něco obtížnější.

Doba čtení: 4 minuty

Sdílet

Když projekt Let's Encrypt v roce 2015 začínal, měl za cíl nejen udělat TLS certifikáty dostupnými pro každého a automatizovaně, ale také nastavit vyšší standardy ověřování držení doménového jména, než bylo tehdy zvykem. Během beta provozu postupně z většiny vyšších požadavků sešlo, některé, jako třeba Certificate Transparency, se naopak staly nutnou součástí všech platných certifikátů od všech autorit.

Splnění dávného slibu

Dnešním dnem autorita splňuje jeden z dávných slibů: validace držení doménového jména nebude probíhat pouze jedním požadavkem putujícím z jednoho ze dvou datacenter, které Let's Encrypt provozuje, ale i z dalších míst v různých částech světa; konkrétně v tuto chvíli ze tří datacenter společnosti Amazon. Smyslem tohoto opatření je znesnadnit manipulaci s validačními zprávami, které by umožnily komukoli na cestě mezi autoritou a držitelem domény získat cizí certifikát.

Vizualiace cesty k autoritě Let's Encrypt pomocí systému <a href="https://atlas.ripe.net/measurements/3678977/">RIPE Atlas</a>.

Vizualiace cesty k autoritě Let's Encrypt pomocí systému RIPE Atlas.

Změna je v provozu ve veřejném testovacím prostředí už od srpna 2017. Pro úspěšné vydání certifikátu je zapotřebí úspěšné splnění validačních výzev pro dotaz z primárního datacentra a alespoň dvě ze tří vzdálených datacenter. Účelem takovéto tolerance je zřejmě snaha o zajištění dostatečné odolnosti vydávání certifikátů i v případech výpadků nejrůznějších peeringových center a tranzitních operátorů, ke kterým na globálním internetu běžně dochází.

Špatné implementace ACME se mohou rozbít

Změny validační procedury si nejspíš většina uživatelů služby vůbec nevšimne. Pokud je pro validaci použit obyčejný webový server, případně pro DNS validaci obyčejný DNS server, prostě se jen v logu objeví čtyři řádky namísto jednoho, jako v tomto příkladu:

2a05:d014:531:8601:650c:f4b0:fea1:6f1d domain.example.com - [10/Feb/2020:13:35:38 +0100] "GET /.well-known/acme-challenge/ZcIx1hQ0ulipWJhFJVlWnrjAJTbU5uLfXoNm4ShSwpQ HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
2600:1f16:13c:c401:997b:eeb6:8474:2eb1 domain.example.com - [10/Feb/2020:13:35:38 +0100] "GET /.well-known/acme-challenge/ZcIx1hQ0ulipWJhFJVlWnrjAJTbU5uLfXoNm4ShSwpQ HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
2600:1f14:a8b:502:ab14:8938:11c5:b75e domain.example.com - [10/Feb/2020:13:35:39 +0100] "GET /.well-known/acme-challenge/ZcIx1hQ0ulipWJhFJVlWnrjAJTbU5uLfXoNm4ShSwpQ HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
2600:3000:2710:300::1d domain.example.com - [10/Feb/2020:13:35:39 +0100] "GET /.well-known/acme-challenge/ZcIx1hQ0ulipWJhFJVlWnrjAJTbU5uLfXoNm4ShSwpQ HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)" 

Problém budou mít ty implementace ACME protokolu, jejichž autoři byli nadmíru kreativní a neobtěžovali se s dodržováním příslušného standardu či provozních doporučení. Odchýlením od standardu může být například odstranění ověřovacího souboru ihned po vyřízení prvního požadavku, či zablokovaný přístup na port 80 z veřejného Internetu s explicitní výjimkou pro stávající validační IP adresy. Ty nejsou ze strany Let's Encrypt záměrně nijak zveřejňovány, protože se počítá s tím, že se budou v průběhu času měnit.

Aby bylo zavedení nové validace co nejhladší, bude do 1. června 2020 v provozu whitelist ACME účtů, které mají s validací z více míst problém. Pro tyto účty bude postačovat splnění validační výzvy z původního datacentra, jako tomu bylo dosud. Tento seznam bude automaticky naplněn na základě logů selhávajících validací, o zařazení na seznam je možné i požádat. Jedná se však pouze o dočasnou výjimku, která má umožnit v klidu opravit implementaci ACME protokolu do vyhovujícího stavu.

Jak probíhá validace v Česku

Vydání certifikátu jsem ověřoval na testovacím prostředí Let's Encrypt. Pro doménové jméno provozované na IPv6 a dual-stacku přicházejí výzvy po IPv6 z těchto adres:

  • 2a05:d014:531:8601:650c:f4b0:fea1:6f1d(Amazon, Evropa)
  • 2600:1f16:13c:c401:997b:eeb6:8474:2eb1(Amazon, USA)
  • 2600:1f14:a8b:502:ab14:8938:11c5:b75e(Amazon, USA)
  • 2600:3000:2710:300::1d(primární datacentrum, USA)

V případě validace doménového jména, které používá pouze IPv4, přichází validační výzvy z těchto adres:

  • 52.58.118.98(Amazon, Evropa)
  • 18.224.20.83(Amazon, USA)
  • 66.133.109.36(primární datacentrum, USA)
  • 34.211.60.134(Amazon, USA)

Určení přesného místa, kde přesně se dané servery nachází, není úplně jednoduché, ale na základě analýzy síťové cesty k jednotlivým serverům můžeme odhadnout, že kromě adres na prvních místech seznamů jsou všechny ostatní v USA. Rychlý test příkazem traceroute ze sítí CESNET, Casablanca a Master Internet ukazuje, že zatímco první IPv4 a IPv6 adresa je dostupná prostřednictvím českého peeringového centra NIX.CZ, ostatní adresy jsou dostupné prostřednictvím tranzitního operátora.

Ochrana před útočníky z USA

Vzhledem k tomu, že autorita toleruje výpadek jednoho ze vzdálených validačních uzlů, znamená to, že v současném režimu nasazení tyto zpřísněné podmínky validace chrání české, potažmo evropské domény pouze částečně. Pozice se velmi ztíží případným útočníkům z USA, pro ty bude zřejmě obtížné tři různé validace z různých koutů země podvrhnout.

Pro případné útočníky na úrovni tranzitního operátora, třeba špióny napichující podmořské kabely, je situace stejná jako doposud, protože jedna selhávající validace z Evropy bude autoritou tolerována. K zásadnímu zlepšení u nás v Evropě dojde teprve tehdy, pokud se v budoucnu síť validátorů zahustí natolik, že k vydání certifikátu bude vždy zapotřebí alespoň jedna validace z tranzitního operátora a alespoň jedna validace z místního peeringového uzlu. Manipulace s validačními výzvami pak bude možná jen uvnitř příslušného koncového autonomního systému, tedy sítě příslušného operátora.