Miliony stron internetowych zagrożonych po błędzie szyfrowania

Miliony stron internetowych zagrożonych po błędzie szyfrowania

Projekt Let's Encrypt ogłosił, że unieważni ponad trzy miliony certyfikatów TLS po znalezieniu błędu w kodzie autoryzacji urzędu certyfikacji (CAA). Błąd dotyczy oprogramowania serwerowego Let's Encrypt o nazwie Boulder, które umożliwia projektowi weryfikację użytkowników i ich domen przed wydaniem certyfikatu TLS. Let's Encrypt zdecydowało się unieważnić certyfikaty TLS, ponieważ błąd miał wpływ na implementację specyfikacji CAA w Boulder. CAA to standard bezpieczeństwa zatwierdzony w 2017 r. Umożliwia właścicielom domen uniemożliwianie organizacjom wystawiającym certyfikaty TLS, zwanym urzędami certyfikacji (CA), wystawiania certyfikatów dla ich domen. Dodając „pole CAA” do rekordów DNS domeny, właściciel domeny może mieć pewność, że tylko urząd certyfikacji wymieniony w polu CAA będzie miał możliwość wystawienia certyfikatu TLS dla jego domeny. Urzędy certyfikujące, takie jak Let's Encrypt, muszą dokładnie przestrzegać specyfikacji CAA, w przeciwnym razie mogą zostać ukarani przez producentów przeglądarek.

Unieważnienie certyfikatu TLS

Dowiedziawszy się o problemie, inżynier Let's Encrypt Jacob Hoffman-Andrews ujawnił w poście na forum, że błąd w Boulder spowodował, że oprogramowanie serwera ignorowało kontrole CAA, mówiąc: „Błąd: gdy żądanie certyfikatu zawierało N nazw domen, które wymagały nowej weryfikacji CAA, Boulder wybierał nazwę domeny i weryfikował ją N razy. W praktyce oznacza to, że jeśli abonent zweryfikował nazwę domeny w czasie X, a CAA rejestruje dla tej domeny w danym czasie tę nazwę domeny, co zabrania jej wydawania przez Let's Encrypt.” W weekend projekt Let's Encrypt szybko naprawił błąd i Boulder może teraz poprawnie weryfikować pola CAA przed wydaniem nowych certyfikatów. Na szczęście jest bardzo mało prawdopodobne, aby ktokolwiek wykorzystał błąd, w zależności od projektu. Do chwili obecnej projekt Let's Encrypt unieważnił wszystkie certyfikaty wydane bez odpowiednich kontroli CAA. Teraz wszystkie certyfikaty, których to dotyczy, będą powodować błędy bezpieczeństwa w przeglądarkach, dopóki właściciele domeny nie zażądają nowego certyfikatu TLS w celu zastąpienia starego. Przez ZDNet

Może Cię też zainteresuje...