Let's Encrypt nakonec revokoval jen 1,7 milionů certifikátů

takze vlastne neudelali vubec nic, kdyz revokovali jen jiz pregenerovane - proc info o revokaci vubec vydavali, kdyz tak pak neucinili?

vsichni jsou si rovni, jen nekteri rovnejsi - za poruseni pravidel se drive jine hrace vyhazovalo

takze duvera v certifikaty opet klesla...

prekvapive diky tomu, ze to info vydali, tak zpusobili obnovu certifikatu a jejich predky pak mohli revokovat. Chicken-egg problem?

vyvolani davove paniky = vyreseni problemu?

vcelku k nicemu, kdyz se revokovaly jen ty pregenerovane a ty ostatni, ktere mohou byt prave ty zaskodnicke, zustaly platne

ta revokace je jen gestem do davu "revokovali jsme", ackoliv nic neprovedli

Tak si to přečtěte ještě jednou (dvakrát, třikrát?)

držitele nedostatečně ověřených certifikátů kontaktovali mailem

ty certifikáty, jejichž majitelé tam uvedli funkční mail a podle pokynů certikát obnovili, pak mohli revokovat

dále zrušili certifikáty k doménám, které v CAA mají něco jiného, než Let's Encrypt

ty ostatní budou revokovat v okamžiku, kdy majitelé certifikát obnoví - buď předčasně, v nejhorším případě nejpozději po 90 dnech platnosti certifikátu

Takže jde jen o ten zbytek - když by to revokovali plošně, vznikne víc škody, než užitku.
Mně se to netýká, ale mám certifikát na QNAP NAS, a ten mi dovolí certifikát obnovit až 10 dnů před koncem platnosti. Můžou to být certifikáty takovýchto zařízení, nebo instalací, které dělal někdo z venku, a než se k tomu dostane, tak to může trvat.
V reálném světě každý server nemá někoho, kdo je kdykoliv připravený okamžitě zasáhnout. Když jim zrušíte certifikáty, zbouráte jim servery, ale přínos bude zcela zanedbatelný. Vzhledem k nevelkému riziku zneužití a omezené době platnosti certifikátů to asi stačí.

Mně se to netýká, ale mám certifikát na QNAP NAS, a ten mi dovolí certifikát obnovit až 10 dnů před koncem platnosti.

To je ovšem slabina návrhu implementace QNAPU. Nejen v této situaci, ale při jakékoliv kompromitaci musíte mít nástroj na přegenerování klíče a vyžádání nového certifikátu. Nevím proč by měly snad stamiliony lidí zažívat nejistotu kvůli pohodlí asi jednoho procenta těch, kteří si vybrali špatné zařízení nebo špatného správce.

Ta situace je jednoznačně velmi špatná a nemá jednoduché řešení. Proto by k ní nemělo docházet, bohužel se chyby stávají přes všechna opatření. Spíš je zásadní, jak se k tomu autorita postaví. Let's Encrypt se k tomu postavila čelem, okamžitě chybu opravila, informovala veřejnost a komunikovala naprosto otevřeně. To je jediný správný postup, na rozdíl od toho, jak to v minulosti dělala špatně řada jiných autorit (záměrné obcházení pravidel, zatajování, mlžení a podobně).

Otázka je, jaký by tedy měl následovat další krok. Tvrdá a okamžitá revokace všech takhle vydaných certifikátů je velmi problematická. Rozhodně by důvěru v certifikační autoritu nezvýšilo, kdyby najednou přestaly fungovat tři miliony webů. Rozbila by se spousta věcí nevinným uživatelům, kteří nic špatně neudělali. Nedělat nic je ovšem taky špatná varianta, protože nějakou dobu byla v systému díra.

Ta situace je nezáviděníhodná, ale nemá jednoduché řešení.

Bodově:

Okamžitou revokaci oznámil sám LE, a pak ze sebevůle nedodržel slovo. Vytvořili zárodek nestabilního prostředí, kde se nedá spolehnout na jejich slovo.

Přestaly by fungovat tři miliony webů? Já o tom silně pochybuji. Alespoň by se ukázalo, jak je revokační systém nefunkční. Nebo by se naopak potvrdilo, že to funguje dobře. Místo toho se k tomu zbaběle postavili a tuhle příležitost ten systém prověřit promarnili.

Uživatelům by se nic nerozbilo. Pokud by se něco rozbilo, tak nezpůsobilým správcům a provozovatelům.

K okamžité revokaci se rozhodl LE sám od sebe. Pak to rozhodnutí změnil. Co je na tom špatně? Podle vás změnit rozhodnutí je nedodržení slova? Oni nic neslibovali, oni upozorňovali vlastníky certifikátů, že je revokují, a doporučili obnovit je.

Nevidím nic nestabilního na tom, že někdo změní rozhodnutí, když se ukáže, že je k dispozici lepší řešení.

Místo toho se k tomu zbaběle postavili a tuhle příležitost ten systém prověřit promarnili.
Nemyslím si, že je úlohou certifikační autority dělat takovéhle pokusy na lidech.

Uživatelům by se nic nerozbilo. Pokud by se něco rozbilo, tak nezpůsobilým správcům a provozovatelům.
Rozbilo by se to i uživatelům, protože by se na ten web nedostali. Uživatele nezajímá, kdo za to může, pro něj je podstatné to, že to nefunguje.

Dalsi krok nebude, resp. maximalne mozilla skrz CA forum vyda "ostre odsouzeni" a karavana pojede dal. Na webu neni podstatnej nazor odborniku, neni podstatne, ze cely system CA je spatne, podstatne je, ze to Beznemu Frantovi funguje a fungovat bude nadale. Web dneska neni otazka technologicke spravnosti ale uzivatelske funkcnosti. A kde jde o bezpecnost, tam se nepouzije CA, ale klidne self signed predany duveryhodnym kanalem.

Co mozilla muze udelat? Vyhodit LE z Firefoxu? A zabit si tim zobrazeni webu? Co asi uzivatel udela, kdyz v jeho firefoxu seznam nepojede a v kolegove chromu ano? No spravne - nainstaluje chrome. LE udelal to, co udelat mel - informoval uzivatele, okamzite revokoval certifikaty, ktere byly v jasnem rozporu s aktualnim CAA a revokoval certifikaty, ktere uzivatele vymenili. Za me cajk.

Dobry, ale prsili se, jak vse budou revokovat, svym slovum ale nedostali - je takova autorita duveryhodna, kdyz neco rika a neco jineho dela? Ne, neni.

Jen je zdarma a jina takova alternativa neni, takze se ji stejne budeme vsichni pouzivat a neresit, zda (ne)konaji dle toho, co rikaji - beznym uzivatelum jde jen o to, aby prohlizece nervaly na chybe neduvery a zaroven nemuseli za to platit byt jediny halir.

Co je to za nesmysl? Nejprve se rozhodli revokovat všechny potenciálně chybné certifikáty, vydali o tom co nejdřív zprávu, aby uživatelé mohli zareagovat. Pak to dál sledovali, zjistili, kolik certifikátů bylo obnoveno, a změnili rozhodnutí. Vy jste nikdy rozhodnutí nezměnil? Pokud vám vadí, že váš certifikát revokován nebyl, nic vám nebrání revokovat ho sám.

To máte pravdu. Rozdíl je ještě ale i v pozadí. Kdyby dříve (asi případy které máte na mysli) informovali o průšvizích, věděli, že by jim to stejně neprošlo. Byli všem trnem v oku, takže ať by bývali udělali cokoliv, dopadlo by to stejně - skončili by. Let's Encrypt si vytvořil božskou aureolu. Špatně fungující systém certifikací "vylepšili" tím, že snížili laťku. Vždy se říkalo, že předpokladem dobře splněného plánu je si toho moc nenaplánovat. Takže ze situace, kdy spousta certifikací probíhala korektně a opravdu něco ověřovala, máme situaci, kdy neověřujeme vůbec nic, zato bezchybně. Opravdu vylepšení. Nakonec udělají ty samé chyby, za které se dřív sekaly hlavy a ještě jsou pochváleni, že se "postavili čelem".

Průšvih se může stát komukoliv - může být technický (tento případ) nebo i manažerský (StartSSL). Výsledek je ale stejný. Mělo by se všem měřit stejným metrem - ať už certifikační autority mezi sebou, browsery k certifikačním autoritám, i certifikační autority směrem ke svým klientům. Sdělit, že "oznámil ..., že došlo k revokaci pouze 1,7 milionu certifikátů a ... Dále bylo revokováno 445 certifikátů, u kterých současná hodnota CAA záznamů zakazuje vydání certifikátů pomocí Let's Encrypt; tyto certifikáty měly nejvyšší prioritu" a odůvodnit "Rozhodli jsme, že v nejlepším zájmu o zdraví Internetu je tyto certifikáty nerevokovat" zní sice na první pohled logicky.

Revokovali podle priorit - nelze nic namítat. Ovšem kdyby v tom nebylo zároveň i porušení základních pravidel i celého smyslu certifikací. Nebezpečné je to i z toho důvodu, že nebyl vyvinut tlak na správce, když už chtějí certifikát zdarma, aby se o to aspoň starali. Nejnebezpečnější je precedent, že pravidla jsou pro srandu králíkům, když se najdou "správné" důvody, je tu vždy božská komise, která pravidla obejde. Vynikající stav, přesně tento signál byl potřeba vyslat, aby certifikáty neznamenaly už vůbec nic.

Nakonec udělají ty samé chyby, za které se dřív sekaly hlavy a ještě jsou pochváleni, že se "postavili čelem".
Jak je vašim dobrým zvykem, opět píšete o něčem, o čem nic nevíte. To, co se teď stalo LE, nemůžete s průšvihy StartComu nebo Symantecu vůbec srovnávat.

Ovšem kdyby v tom nebylo zároveň i porušení základních pravidel i celého smyslu certifikací.
Tak nám to porušení pravidel popište.

Já vám k tomu popisu dodám pár faktů. Někdo má dnes v CAA záznamu uvedeno, že certifikáty pro jeho doménu může vydávat Let's Encrypt, nebo tam nemá nastavené žádné omezení. Dotyčný zároveň má vystavený certifikát od Let's Encrypt. Jediný „problém“ toho certifikátu je, že má datum vystavení někdy v minulosti – a v té minulosti možná ten CAA záznam nepovoloval LE vystavení takového certifikátu. Tak v čem je problém?

Informaci vydávali, protože měli v plánu revokaci provést. Vydávali ji co nejdřív, po vydání té informace pak změnili plány. To se stává. V první řadě revokovali těch 400 certifikátů, kde jsou teď CAA záznamy nasměrované na jinou autoritu. Ty byly nejproblematič­tější. Pak revokovali ty certifikáty, které už jsou přegenerované – kde se tedy dá předpokládat, že revokace nebude mít žádný dopad. Mimochodem, k tomu přegenerování došlo právě na základě té informace, takže její vydání bylo důležité.

Nikdy se nevyhazovalo za jakékoli porušení pravidel, vždycky se posuzovala závažnost. A v tomto případě víme, že certifikátů, kde mohlo dojít k nějakému narušení bezpečnosti, je méně než 500. Ale neví se o žádném skutečném narušení bezpečnosti. To je dost jiná situace, než když někdo vydal certifikát žadateli, který neměl s doménou nic společného.

Důvěra v certifikáty tímhle opravdu neklesla. Možná u lidí, kteří vůbec netuší, v čem byl problém – ale těch bude zase minimum, protože drtivá většina z nich se o nějaké revokaci vůbec nedozvěděla.

Vydávali ji co nejdřív, po vydání té informace pak změnili plány. To se stává.

Ano, to se stává, ale důvod v tomto případě nebyl přesvědčivě silný k tomu, aby se tak zachovali. Když odhlédneme od toho, že revokace stejně prd fungují, zasáhlo by to maximálně lajdáky, kteří chtějí certifikát zadarmo a ještě se o to vůbec nestarat a ignorovat varování a to ještě při správné konstelaci hvězd, když už by někdo revokace kontroloval. V zájmu Internetu by spíš bylo upozornit tímto případem všechny, že certifikace opravdu dbají o bezpečnost a je primárním měřítkem. Vyhrál obchodní zájem (nikoho nenaštvat) nad bezpečností.

V první řadě revokovali...

Proti tomuto postupu (stanovení priorit) nelze nic namítat.

Důvěra v certifikáty tímhle opravdu neklesla.

Klesla. Snížila se opět laťka, na co lze spoléhat. Svědomitý správce má nastavené CAA záznamy a nedělá to jen tak z plezíru. Chce zvýšit bezpečnost. Stane se průšvih - může se stát. Zjistí se, že byly vydány certifikáty chybně a s jistotou světem kolují certifikáty, které mají SAN obsahující FQDN, na které nemají právo držet. Na to neexistuje jiné řešení, než je revokovat.

Ten, kdo vyžádal certifikát pro SAN, na který neměl nárok, mohl tak činit ze dvou důvodů. Buďto vědomě, chtěl získat něco, k čemu nebyl delegován. Nebo opomenutím, ani mu nedošlo, že má CAA na dalších doménách nastavené odlišně. Ale jsme zpět u první myšlenky: CAA se nenastavuje omylem či implicitně, nastavuje se explicitně, když víte, co žádáte. Takže ani ten správce, který získal některý SAN neoprávněně, nebude se cítit ukřivděný za to, že takový certifikát revokujete.

Tedy subjekty, které jsou účastny tohoto procesu (správce+držitel domény vs. CA) nejsou revokací poškozeny. Pouze by se tím naplnila jejich explicitní vůle.

Proti tomu LE upřednostnili zájem třetí strany. Uživatele internetu, případně provozovatelů služeb, kteří je ve velkém provozují. Nastala naprosto paradoxní situace, kdy zájem třetí strany vstupuje a přebíjí vůli dvou stran ujednání.

certifikace opravdu dbají o bezpečnost a je primárním měřítkem
Těším se na ten váš popis toho, co nebezpečného se vlastně událo.

Snížila se opět laťka, na co lze spoléhat.
Zřejmě vám unikly případy, kdy certifikační autorita vydala certifikát žadateli, který vůbec nebyl oprávněn takový certifikát získat. Ta laťka už je dávno mnohem níž, než jste si myslel.

Zjistí se, že byly vydány certifikáty chybně a s jistotou světem kolují certifikáty, které mají SAN obsahující FQDN, na které nemají právo držet.
Tu jistotu, že světem kolují chybně vydané certifikáty, máte jenom vy. Pravděpodobně plyne z toho, že nechápete, co se stalo.

Svědomitý správce má nastavené CAA záznamy a nedělá to jen tak z plezíru.
Když vynecháme těch necelých 500 certifikátů, které byly revokovány na prvním místě – správce má nastavené CAA záznamy na LE a má LE certifikát. Co je na tom špatně? Neměl by náhodou správce, pokud už LE nedůvěřuje a nechce od něj vystavovat certifikáty, ten CAA záznam povolující LE odstranit?

Tedy subjekty, které jsou účastny tohoto procesu (správce+držitel domény vs. CA) nejsou revokací poškozeny. Pouze by se tím naplnila jejich explicitní vůle.
Explicitní znamená výslovný. Explicitní vůli revokovat certifikát vyjádříte tím, že certifikační autoritě zašlete žádost o revokaci. Pokud sedíte v křesle, točíte palci mlýnek a čekáte, že se to revokuje samo na základě nějakého vyjádření, je to nanejvýš implicitní vůle.

"Mimochodem, k tomu přegenerování došlo právě na základě té informace, takže její vydání bylo důležité."

No to právě vůbec důležité nebylo. Původní stav byl, že vy jste měl platný legální certifikát X a někdo jiný měl na vaši doménu platný nelegální certifikát Y. Vy jste svůj certifikát X přegeneroval a LE ho následně revokovala. Takže jste v situaci, že vy máte platný legální certifikát Z a někdo jiný má na vaši doménu stále ten starý platný nelegální certifikát Y.

Problém jsou zkrátka ty certifikáty Y. A ty zůstávají. Nikdo neví, které to jsou ani kolik jich je, jestli vůbec nějaké vlastně existují. Kolotoč s certifikáty X nic neřeší, tam si jen legální vlastníci vyměnili jeden legální certifikát za jiný.

Význam to má leda kdyby LE teď ty zbývající revokovala. Pak by se dalo říci, že "díky včasnému vydání varování se nakonec rozbilo o polovinu méně serverů". Pokud ale s tím zbytkem nic neudělají, pak to celé byla jedna velká zbytečnost.

Tak nevím, kdo to pochopil blbě.
Já tomu rozumím tak, že ty problematické certifikáty byly řádně (DV) ověřeny, ale za jistých okolností nebyl správně ověřen CAA záznam. A protože zpětně nelze říct, zda tam v tom okamžiku nějaký CAA záznam byl, nebo jaký, nelze posoudit, zda certifikáty byly nebo nebyly vystaveny oprávněně.
Ale ta neoprávněnost vystavení nespočívá v tom, že by ten certifikát získal někdo jiný, ale že není jisté, zda LE směla ten certifikát vystavit (kvůli nedostatečně ověřenému CAA).

Ale ta neoprávněnost vystavení nespočívá v tom, že by ten certifikát získal někdo jiný, ale že není jisté, zda LE směla ten certifikát vystavit (kvůli nedostatečně ověřenému CAA).

To už tady domýšlíte něco, co není dáno. Představte si např. korporaci, která má ve firemní politice to, že projektové weby zřizují a spravují jednotlivá oddělení, mají povoleno používat jenom LE (např. tím, že jim správce vloží CAA záznam), zatímco pro korporátní web firmy je stanovena politika odlišná - např. že musí certifikát vystavovat jedna vybraná CA, se kterou existuje smlouva a pravidla. (Taková situace opravdu může nastat).

Teď do toho přidejte webserver, který acme-challenge adresář má sdílený pro víc webů (běžná poor man's implementace, velmi rozšířená).

V ten okamžik někdo, kdo neměl mít oprávnění, dokáže kombinací chyb certifikát získat. Na sdíleném serveru může dojít i ke zkřížení více zákazníků.

Uznávám, že větší prohřešek je sdílený adresář pro challenge, ale CAA je nástroj, který má chránit ty, kteří přemýšlejí o krok dál. Proč je tedy neochránil?

Určitě by se dalo domyslet víc cest, kdy k reálné kompromitaci mohlo dojít. Právě proto jsou (mají být) bezpečnostní imperativy nepodkročitelné a další úvahu lze vést pouze v případě, kdy ani jedno řešení nedokáže splnit hlavní účel (bezpečnost). V tomto případě došlo ke kolizi dvou nesourodých zájmů: bezpečnost vs. pohodlí (bezproblémovost). To, že bezpečnost v této volbě prohrála je úlet.

Původní stav byl, že vy jste měl platný legální certifikát X a někdo jiný měl na vaši doménu platný nelegální certifikát Y.
Nikoli, žádný někdo jiný neexistuje.

Problém je, že jste nepochopil, k čemu vlastně došlo.

Kolko kriku by bolo, keby to spravi ina CA. Ale z LE to je uplne v pohode.

Tymto sa chcem podakovat LE, ze poslala bezpecnost intenetu do...
Povinnostou CA je revokovat vsteky certifikaty, ktore maju podozrenie kompromitaciu alebo nie su technicky v poriadku. LE to nespravila, keby je to ina CA bola by vyradena zo storov. Ale kedze LE , Google a apple si vidi bezecnost len tak ako im vyhovuje a nazory odbornikov vysoka kaslu, tak aj tak dopadneme.

Už jen tahle série názorů pod zprávičkami ukazuje, že to není úplně v pohodě. A rozhodně není pravda, že jakmile autorita udělá chybu, je okamžitě vyřazena z důvěryhodných. Vždy se zvažuje mnoho faktorů, včetně závažnosti incidentu a způsobu, jakým s ním autorita nakládá. A v tomhle má prostě LE navrch nad všemi ostatními díky téměř absolutní transparentnosti procesu.

Druhá část problému, která tu bohužel je, a bude, spočívá v tom, že LE je dnes v podstatě monopol a zároveň too big to fail. Kdyby se někdo rozhodl ji vyřadit z důvěryhodných, byl by to proces minimálně na rok, během kterého by ovšem musela vyrůst nějaká obdobná bezplatná automatická autorita, nebo by se muselo objevit něco úplně jiného než PKI.

Hodnota DV certifikátu je dnes skoro čistá nula, vendoři prohlížečů se postarali o to, že i hodnota EV certifikátů je nulová. Sem tam někdo ještě certifikáty kupuje, většinou kvůli tomu, že je to levnější, než v některých případech automatizovat ACME challenge; až padnou wildcard certifikáty a zkrátí se platnost certifikátů ještě níž, tak už pro komerční CA prostor zmizí úplně. Jedinou jejich šancí je nabídnout zákazníkům smluvní výhody typu: nastavte si CAA, my vám zaručujeme, že při žádosti o certifikát budeme postupovat určitým administrativním postupem (např. že budou smluvně určeny oprávněné osoby). To je ale dost slabý argument, aby na tom mohli vydělávat. Zejména když kontrola CAA záleží na třetích subjektech, nota bene po této události, kdy už se na to nedá spoléhat ani jako na pravidlo.

Konkurent pro LE těžko vyroste. Ani on by neměl nic víc, co nabídnout. LE nevzniklo z altruismu k uživatelům. Naplnilo určitou část komerčních zájmů jeho zakladatelů/členů a ti nepotřebují mít pro LE konkurenta. Asi by jim ani nevadil, ale kdo by do toho cpal peníze, když to už nic nového nepřinese.

Monopolní/oli­gopolní prostředí s sebou nese krátkodobý posun vpřed zvýšenou rychlostí, ale taky riziko velkých následků na dlouhou dobu. Zajímavé na LE je to, že nepohodlný monopol se dá vytvořit i z něčeho, co je pro všechny bezplatné.

Vyslechli jste krátkou ukázku z pásma Paralelní vesmír Miroslava Šilhavého.