Hlavní navigace

Let's Encrypt nebezpečnou validaci už nezprovozní

Sdílet

Ondřej Caletka 12. 1. 2018
Let's Encrypt záplata

Služba Let's Encrypt od 9. ledna nepodporuje ověření žádosti o certifikát prostřednictvím metody tls-sni-01. Podle původního prohlášení provozovatelů měla být metoda pozastavena na 48 hodin, než se podaří zjednat nápravu u dotčených sdílených hostingů. Během včerejška pak byla metoda povolena na základě whitelistu velkým hostingům, u kterých bylo prověřeno, že popsanou zranitelností netrpí.

Lhůta 48 hodin nyní uplynula a výkonný ředitel ISRG John Aas vydal prohlášení, o kterém se dalo spekulovat: Validace metodou tls-sni-01 už nebude nikdy plně zprovozněna. Ukázalo se totiž, že zranitelných sdílených hostingů je příliš mnoho.

Let's Encrypt nicméně neplánuje hodit své uživatele přes palubu, proto bude utlumování nebezpečné metody probíhat postupně. Zcela zablokovaná bude pro nově vytvořené ACME účty. Omezení se týká i obdobné metody tls-sni-02 používané v protokolu ACME verze 2, na který má autorita zanedlouho přejít.

Pro stávající ACME účty bude po omezenou, zatím blíže neurčenou dobu podporována metoda tls-sni-01 pouze pro obnovování již vydaných certifikátů. Po krátkou až střední dobu zůstane též v provozu whitelist velkých poskytovatelů, u kterých je metoda používána a zároveň netrpí objevenou zranitelností. Za velkého je přitom považován poskytovatel s více než deseti tisíci aktivními certifikáty. John Aas však upozorňuje, že tým ISRG nemá dostatečné personální kapacity pro udržování whitelistu, proto na něj nedoporučuje spoléhat.

Lidé z ISRG také spolupracují s tvůrci ACME klientů, kteří nebezpečnou validaci preferují, na vydání aktualizace, která metodu nahradí za http-01. Oficiální klient Certbot by měl takovou aktualizaci získat během několika dnů.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 12. 1. 2018 8:41

    0x1 (neregistrovaný) ---.tmcz.cz

    Me se libi na teto situaci hned nekolik veci:
    - Vime naprosto transparentne co se stalo
    - Vime jaky bude dalsi postup (do 48hodin)
    - Po teto dobe vime co se bude dit
    - Sluzba je zadarmo, presto informuji o bezpenostnich chybach hned a hned jednaji
    - Sluzba je zadarmo, presto pomahaji s aktualizacemi clientu
    - je zadarmo a presto na velke "zakazniky" nekaslou a povoli je na whitelistu

    Za me klobouk dolu Let's encrypt!

  • 12. 1. 2018 10:45

    Filip Jirsák

    Je dobře, že se tak stalo. Akorát mne poněkud znervózňuje to vyjádření, že postižených webhosterů je příliš mnoho – děsí mne představa, že se vůbec uvažovalo o tom, že by tato metoda byla zakazována na základě blacklistu, místo aby byla povolena na základě whitelistu.
    Pokud v bezpečnosti spoléhám na to, že něco plní třetí strana, která navíc vůbec nemá takovou povinnost, nemůžu automaticky spoléhat na to, že to plní každý, a dát na blacklist ty, u kterých náhodou zjistím, že moje představy neplní. Aspoň trochu bezpečné je to jedině tehdy, když ověřím, že konkrétní třetí strana ty požadavky plní a domluvím se s ní, že to je záměrné, a že o splnění těch požadavků se postará i v budoucnosti. Pak dotyčný subjekt můžu dát na whitelist.

  • 12. 1. 2018 11:58

    MasoxCZ (neregistrovaný) ---.eurotel.cz

    Ještě je ke zvážení, zda ti co neplní, tak činí z neznalosti nebo úmyslně. A nejsem si úplně jistý, která z těch možností mě děsí víc. Protože obecně vzato, když o někom vím, že je sice lump, ale uvažuje racionálně, je šance se s ním dohodnout. S volem dohoda možná není.

  • 12. 1. 2018 13:11

    Filip Jirsák

    Já bych na té neznalosti v tomto případě neviděl nic špatného. Nevidím jediný důvod, proč bych měl jako provozovatel webového serveru neustále zkoumat, zda si nějaká další certifikační autorita nevymyslela další způsob, jak bude ověřovat vlastníky domén, a řešit, aby tento nový způsob ověřování u mne nebyl zneužitelný. Ověřování vlastníků je úloha certifikačních autorit, a je od nich drzost, že si diktují neustále další a další požadavky, co mají ISP chránit, aby si autority ušetřili práci. „Musíte chránit tyhle e-mailové adresy, tyhle cesty na webovém serveru, tyhle SNI názvy…“