Hlavní navigace

Let's Encrypt zablokoval validaci tls-sni-01, je zranitelná (doplněno)

Ondřej Caletka

Bez bližších podrobností včera Josh Aas, výkonný ředitel organizace ISRG provozující známou službu Let's Encrypt, oznámil zablokování validační metody tls-sni-01 protokolu ACME:

Obdrželi jsme věrohodné hlášení o problému s validací tls-sni-01 v protokolu ACME, která by mohla umožnit lidem získat certifikáty, které by jinak získat neměli. Zatímco hlášení prověřujeme, zakázali jsme validaci touto metodou.Více informací bude následovat.

Validační metoda tls-sni-01 je vynálezem tvůrců projektu. Spočívá ve vystavení self-signed certifikátu na neexistující doménové jméno, které obsahuje ověřovací kód. Certifikační autorita při ověřování naváže s daným doménovým jménem TLS spojení a do hlavičky SNI vloží toto speciální jméno. K úspěšnému ověření dojde, pokud server odpoví certifikátem vystaveným na dané speciální jméno.

Čtěte: Let's Encrypt: jak funguje a co nabídne 

O povaze zranitelnosti můžeme zatím jen spekulovat. Nabízí se například možnost, že existuje platforma, která automaticky generuje self-signed certifikáty na libovolné doménové jméno. Taková by pak úspěšně ověřila libovolnou žádost.

Validační metodu tls-sni-01 používá především oficiální klient Certbot. Je výhodná pro automatizaci, protože vyžaduje minimální konfigurační zásahy do webserveru. Podle statistik naposledy publikovaných v květnu 2016 není zdaleka tak oblíbená, jako validace vystavením souboru na web serveru – tu používá většina ostatních ACME klientů a ostatně ji zvládne i Certbot. Zatím tedy není důvod k panice.

Doplněno: Let's Encrypt vydal oficiální stanovisko s podrobným popisem problému, kterému se věnujeme v samostatném článku.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?