Hlavní navigace

Let's Encrypt nebezpečnou validaci už nezprovozní

Ondřej Caletka

Služba Let's Encrypt od 9. ledna nepodporuje ověření žádosti o certifikát prostřednictvím metody tls-sni-01. Podle původního prohlášení provozovatelů měla být metoda pozastavena na 48 hodin, než se podaří zjednat nápravu u dotčených sdílených hostingů. Během včerejška pak byla metoda povolena na základě whitelistu velkým hostingům, u kterých bylo prověřeno, že popsanou zranitelností netrpí.

Lhůta 48 hodin nyní uplynula a výkonný ředitel ISRG John Aas vydal prohlášení, o kterém se dalo spekulovat: Validace metodou tls-sni-01 už nebude nikdy plně zprovozněna. Ukázalo se totiž, že zranitelných sdílených hostingů je příliš mnoho.

Let's Encrypt nicméně neplánuje hodit své uživatele přes palubu, proto bude utlumování nebezpečné metody probíhat postupně. Zcela zablokovaná bude pro nově vytvořené ACME účty. Omezení se týká i obdobné metody tls-sni-02 používané v protokolu ACME verze 2, na který má autorita zanedlouho přejít.

Pro stávající ACME účty bude po omezenou, zatím blíže neurčenou dobu podporována metoda tls-sni-01 pouze pro obnovování již vydaných certifikátů. Po krátkou až střední dobu zůstane též v provozu whitelist velkých poskytovatelů, u kterých je metoda používána a zároveň netrpí objevenou zranitelností. Za velkého je přitom považován poskytovatel s více než deseti tisíci aktivními certifikáty. John Aas však upozorňuje, že tým ISRG nemá dostatečné personální kapacity pro udržování whitelistu, proto na něj nedoporučuje spoléhat.

Lidé z ISRG také spolupracují s tvůrci ACME klientů, kteří nebezpečnou validaci preferují, na vydání aktualizace, která metodu nahradí za http-01. Oficiální klient Certbot by měl takovou aktualizaci získat během několika dnů.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?