Let’s Encrypt unieważni miliony certyfikatów SSL

Darmowe certyfikaty wydawane automatycznie przez Let’s Encrypt zostaną cofnięte! Zmiana nastąpi 4 marca 2020 roku. Wszystko za sprawą błędu w kodzie automatycznego zarządzania certyfikatami LE. Efekt? Strony korzystające z bezpłatnej certyfikacji SSL mogą zostać uznane, jako niezabezpieczone, a w najgorszym wypadku będą niedostępne.

Automatyczna certyfikacja

Let’s Encrypt to bezpłatny certyfikat wydawany automatycznie. Użytkowników korzystających z zabezpieczenia czeka niemiła niespodzianka. W środę (4.03.2020 r.) jego wydawca poinformował o cofnięciu części wydanych certyfikatów. 3 miliony użytkowników straci zabezpieczenie SSL. Wszystko za sprawą błędu  CAA. O zaistniałej sytuacji użytkownicy mieli zostać poinformowali jeszcze przed 4 marca. Wówczas drogą mailową został wysłany komunikat o bieżącej sytuacji ze wskazaniem konieczności odnowienia certyfikatu.

Let’s Encrypt. Błąd CAA

3 miliony certyfikatów SSL zostanie unieważnionych. O tym fakcie, poinformowali przedstawiciele Let’s Encrypt. Wszystko za sprawą błędu CAA, który wpłynął na sposób w jaki oprogramowanie sprawdzało własność domeny przed wydaniem certyfikatów. Jak tłumaczy Josh Aas, Executive Director, podczas aktualizacji wprowadzono błąd w kodzie, który spowodował, że została pominięta kontrola, którą obligatoryjnie należy przeprowadzić przed wydaniem certyfikatu.

„Błąd: gdy żądanie certyfikatu zawierało N nazw domen, które wymagały ponownego sprawdzenia przez CAA, Boulder wybierał jedną nazwę domeny i sprawdzał ją N razy. W praktyce oznacza to, że jeśli subskrybent zweryfikuje nazwę domeny w czasie X, a rekordy CAA dla tej domeny w czasie X zezwoliły na wydanie Let’s Encrypt, ten subskrybent będzie mógł wystawić certyfikat zawierający tę nazwę domeny do X + 30 dni, nawet jeśli ktoś później zainstaluje rekordy CAA w tej nazwie domeny, które zabraniają wydania certyfikatu przez Let’s Encrypt. ”

Gratka dla hakerów

Zaistniała sytuacja stanowić może nie lada gratkę dla hakerów. Błąd może spowodować przejęcie kontroli nad certyfikatem SSL na stronie internetowej. A to oznacza możliwość podsłuchiwania ruchu sieciowego i gromadzenie danych użytkowników. Przechwycenie, a tym samym wykorzystanie informacji przez niepowołane osoby niesie szereg przykrych konsekwencji, o których nie raz informowaliśmy na naszym blogu.

Korzystasz z certyfikatu LE? Sprawdź status strony

Użytkownicy certyfikatów zostali poinformowani o całej sytuacji. Jak informuje Let’s Encrypt taka informacja trafiła jeszcze przed 4 marca. Poprzez wiadomość e-mail użytkownicy mieli dostać wiadomość o konieczności odnowienia i podmiany certyfikatu. Jeżeli chcesz sprawdzić status Twojej strony wejdź na swoją witrynę zabezpieczoną certyfikatem SSL od Let’s Encrypt i zobacz czy przeglądarka wyświetla ostrzeżenia typowe dla niezabezpieczonych stron.

Możesz też skorzystać z narzędzia, które – po wpisaniu domeny – sprawdzi czy Twoja strona korzysta z wadliwego certyfikatu. Narzędzie znajdziesz na https://checkhost.unboundtest.com/

Co się stanie jeżeli nie podejmiesz żadnego działania? Twoja strona będzie wyglądać, jak poniżej:

Źródło: https://scotthelme.co.uk/lets-encrypt-to-revoke/

Klienci Kei.pl mogą spać spokojnie

Klienci Kei.pl korzystający z Let’s Ecrypt mogą być spokojni o swoje strony www i certyfikaty. Problem został już naprawiony przez naszych administratorów. Klienci nie są zobligowani do żadnych działań.

Katarzyna Węgiel

Pasjonatka i praktyk działań inbound marketing. Testerka nowych rozwiązań pozycjonujących markę w umyśle klienta. Łączę teorię z praktyką. Wykorzystuję social media do efektywnego budowania relacji z klientem. Na co dzień zajmuję się kreowaniem wizerunku i świadomości marki w komunikacji on i off –line.