The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Массовый отзыв сертификатов Let's Encrypt

03.03.2020 20:31

Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, предупредил о предстоящем отзыве многих ранее выданных TLS/SSL сертификатов. Из 116 млн ныне действующих сертификатов Let's Encrypt будет отозвано чуть больше 3 млн (2.6%), из которых примерно 1 млн являются дубликатами, привязанными к одному домену (ошибка в основном затронула очень часто обновляемые сертификаты, поэтому так много дубликатов). Отзыв запланирован на 4 марта (точное время пока не определено, но отзыв будет произведён не раньше 3 ночи MSK).

Необходимость отзыва обусловлена выявленной 29 февраля ошибкой. Проблема проявляется с 25 июля 2019 года и затрагивает систему проверки CAA-записей в DNS. Запись CAA (RFC-6844, Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, через который можно генерировать сертификаты для указанного домена. Если удостоверяющий центр не перечислен в записях CAA, то он обязан блокировать выдачу сертификатов для данного домена и информировать владельца домена о попытках компрометации. В большинстве случаев сертификат запрашивается сразу после прохождения проверки CAA, но результат проверки считается действительным ещё 30 дней. Правила также предписывают выполнять повторную проверку не позднее, чем за 8 часов до выдачи нового сертификата (т.е. если при запросе нового сертификата с момента прошлой проверки прошло 8 часов, требуется повторная проверка).

Ошибка проявляется, если запрос сертификата охватывает сразу несколько доменных имён, для каждого из которых требуется проверка записи CAA. Суть ошибки в том, что в момент повторной проверки вместо валидации всех доменов, осуществлялась повторная проверка только одного домена из списка (если в запросе было N доменов, вместо N разных проверок, один домен проверялся N раз). Для остальных доменов повторная проверка не выполнялась и при принятии решения использовались данные первой проверки (т.е. использовались данные, давностью до 30 дней). Как следствие, в течение 30 дней после первой проверки Let’s Encrypt мог выдать сертификат, даже если значение CAA-записи было изменено и Let’s Encrypt был убран из списка допустимых удостоверяющих центров.

Подверженным проблеме пользователям отправлено уведомление по email, если при получении сертификата были заполнены контактные данные. Проверить свои сертификаты можно загрузив список серийных номеров отозванных сертификатов или воспользовавшись online-сервисом (размещён на IP-адресе, заблокированном в РФ Роскомнадзором). Узнать серийный номер сертификата для интересующего домена можно при помощи команды:


   openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null \
     | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :


  1. Главная ссылка к новости (https://community.letsencrypt....)
  2. OpenNews: Let's Encrypt преодолел рубеж в миллиард сертификатов
  3. OpenNews: Let's Encrypt перешёл к проверке с использованием разных подсетей
  4. OpenNews: Проект dehydrated сменил владельца
  5. OpenNews: Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта
  6. OpenNews: Доверие к Let's Encrypt обеспечено во всех списках корневых сертификатов
Лицензия: CC-BY
Наводку на новость прислал анон
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/52472-letsencrypt
Ключевые слова: letsencrypt, cert
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 20:56, 03/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –24 +/
    А я ведь предупреждал!
     
     
  • 2.8, КО (?), 21:46, 03/03/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Предупреждай, не предупреждай. Но современные программисты знают 100500 "правильных шаблонов программирования" и не знают чем результат операции в цикле отличается от такового у операции вне цикла.
     
     
  • 3.10, КО (?), 21:48, 03/03/2020 Скрыто модератором
  • +/
     
  • 3.19, mommy (?), 23:59, 03/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просвяти нас, чем она отличается?
     
     
  • 4.32, КО (?), 11:38, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну если результат - [b]она[/b], то объяснить тяжело. Но выше есть песенка - она объясняет.
     
  • 3.25, хотел спросить (?), 01:16, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Немного офтопик, но может тянуть на серьезную новость:

    Swiss neutrality ‘shattered’ as leading cryptologic firm revealed to be CIA front

    https://intelnews.org/2020/02/17/01-2721/
    https://3dnews.ru/1005094

    интересно что скажут нечегоскрыватели

     
     
  • 4.27, Аноним (27), 05:36, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это вы поздновато уже вспомнили. Но суть-то ясна. Многие удивлялись "шпиономании" СССР/России и Китая, как мол можно не доверять надежнейшим машинам из замечательной нейтральной Швейцарии. А оказалось это было правильно

    Было бы странно ожидать другого, что живя в окружении западных стран, Швейцария не будет с ними сотрудничать

     
     
  • 5.42, Аноним84701 (ok), 17:00, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Было бы странно ожидать другого, что живя в окружении западных стран, Швейцария
    > не будет с ними сотрудничать
    > Swiss neutrality ‘shattered’

    Было бы странно ожидать от анонимов не только повторения заголовков желтой прессы.

    Там же:
    >  Crypto AG
    > was a front company owned by the United States Central Intelligence Agency.
    > confirmed rumors that had been circulating since the early 1980s, that Crypto AG had made a secret deal with the US government
    > Boris Hagelin, the Norwegian-born founder and owner of Crypto AG.
    > the secret CIA/BND partnership with Crypto AG was known to senior British and Israeli officials,
    > a Swiss federal judge has opened an investigation into the revelations, as the Swiss parlament is preparing to launch an official inquiry

    Т.е. если акционерное общество, зарегистрированное в Швейцарии норвежцем (которому на момент переезда в Швейцарию было ~50 лет), оказалось подстановочной конторой CIA, то налицо явное сотрудничество государства? Ясно.  
    Т.е. анонимы  могут гарантировать, что ни одно АО в РФ не сотрудничает с китайской/британской/израильской/американской разведками (и не являются подставными - что вообще-то стандартная практика разведок)?
    И то, что несколько лет до этого США, угрозой суда и репрессий вынудили собраться швейцарский парламент и протолкнуть поправку закона о невыдаче банковских данных (вместо их тихой передачи) - было  исключительно хитрой маскировкой? o_O

     
     
  • 6.44, Аноним (44), 18:19, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > И то, что несколько лет до этого США, угрозой суда и репрессий вынудили собраться швейцарский парламент и протолкнуть поправку закона о невыдаче банковских данных (вместо их тихой передачи) - было  исключительно хитрой маскировкой?

    Теперь США не только получает банковские данные по-тихому, но и может шантажировать этим швейцарцев.
    А ещё дядя Сэм спит спокойно — ведь он единственный, кто может нагнуть Швейцарию. Больше никому они данные не отдадут.

     
  • 6.45, и.о.К.О. (?), 21:58, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Т.е. если акционерное общество, зарегистрированное в Швейцарии норвежцем (которому на момент переезда в Швейцарию было ~50 лет), оказалось подстановочной конторой CIA, то налицо явное сотрудничество государства? Ясно.  

    Без сотрудничества государства нельзя зарегестрировать фирму-однодневку на бомжа или подставное лицо без гражданства

     
     
  • 7.46, Аноним84701 (ok), 22:27, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >>Т.е. если акционерное общество, зарегистрированное в Швейцарии норвежцем (которому на момент переезда в Швейцарию было ~50 лет), оказалось подстановочной конторой CIA, то налицо явное сотрудничество государства? Ясно.
    > Без сотрудничества государства нельзя зарегестрировать фирму-однодневку на бомжа или  подставное лицо без гражданства

    Все так, Кэп.
    Но причем тут CryptoAG (1952 - 2018) и Boris Hagelin, который "продолжил" деятельность фирмы A.B. Cryptoteknik (A.B. == AG == AO) , основанной еще в 1932 году в Швеции  (в которой после ВОВ запретили экспорт "шифровальщиков")?

    Кстати, я тут посмотрел - в статье-то похоже насчет "norwegian-born" соврамши:
    https://www.cryptomuseum.com/people/hagelin/boris.htm
    > Boris Casear Wilhelm Hagelin (2 July 1892 - 7 September 1983) was a Russian-born Swedish engineer, inventor of cipher machines and businessman. He developed his first cipher machine in 1922, whilst working for A.B. Cryptograph of Arvid Gerhard Damm in Stockholm (Sweden), of which [b]his father[/b], Karl Wilhelm Hagelin, and the [b]Nobel[/b] family were investors.
    >>  бомжа
    > He was the son of a wealthy Swedish industrialist – Karl Wilhelm Hagelin – who managed the Baku oil fields for the Nobel family.

     
  • 6.51, Аноним (27), 22:15, 05/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Швейцарское правительство все знало. И бездействовало. Бездействие тоже может быть содействием
     
  • 5.50, Дмитрий (??), 13:37, 05/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > в окружении западных стран

    политическая география :)

     
  • 4.37, InuYasha (?), 14:59, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Moar: https://3dnews.ru/1003494
     
  • 3.41, Pistrun (?), 16:28, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты здоров?
     
  • 2.9, pin (??), 21:46, 03/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты это семантеку расскажи.
     
     
  • 3.15, пох. (?), 22:11, 03/03/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    так то вредные семантики, а тут - кого надо нога! Надо ж, товарищ, партийное чутье иметь,  Ну выдали пару миллионов сертификатов, которых не должны были выдавать - ну ничего ж страшного, бывают ошибки, мы их исправляем (опа, твой сайт оказался с невалидным сертификатом? Ну так надо было обновляться чаще, чаще, еще чаще - раз в пять минут самое то!), работа кипит!

     
     
  • 4.17, КО (?), 22:17, 03/03/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ошибка затронула очень часто обновляемые сертификаты - их и отзовут. Надо ж, товарищ, партийное чутье иметь, нога, то, отвалиться может ежли каждые пять минут вальс плясать.
     
  • 4.29, Адекват (ok), 09:13, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    у LE раз в пять минут нельзя, раз в месяц вроде, не чаще. В крон или таймеры системД записать правило обновления и всего делов.
     
     
  • 5.33, пох. (?), 11:52, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > у LE раз в пять минут нельзя, раз в месяц вроде, не чаще.

    тебе ж по-рюйске написали, для неграмотных - налетели именно те кто чаще раза в месяц. Правильные пацаны не пострадали.
    Раз в пять минут это я, конечно, издеваюсь, там throttle для взбесившихся кроноскриптов на "не больше пяти в одни руки за неделю", но тоже норм, обновляйся, беги в ногу со временем!
    А то вдруг предыдущий твой сертификат попал в руки врагов?!


     
     
  • 6.40, Онанимус (?), 16:12, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >А то вдруг предыдущий твой сертификат попал в руки врагов?!

    Какие там враги? Я глянул по диагонали - одни фишеры (а их не жалко).

     
  • 2.11, Аноним (11), 21:51, 03/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошо хоть за этот серт денег не берут. Так что могут косячить сколько влезет.
     
     
  • 3.16, пох. (?), 22:12, 03/03/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    да, так-то пришлось бы штрафы оплачивать, а то и что похуже (типа страховок на несколько лямов, как у некоторых еще недобитых принято)
     
  • 3.18, Lex (??), 22:20, 03/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Косвенно берут..
     
     
  • 4.34, пох. (?), 11:53, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Косвенно берут..

    "здесь товар - это ты"

     
     
  • 5.53, Lex (??), 12:28, 06/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Косвенно берут..
    > "здесь товар - это ты"

    *лениво зевая и, не менее лениво, ударяя ладонь о ладонь*
    Оу. Как гениально и тонко.

    п.с: хотя, где-то в глубине души, все-таки надеялся, что уж в 2020г, Дед Мороз исполнил-таки мое желание и люди, придумывающие на удивление нелепые и дурацкие по своей сути формулировки( и уж тем более, просто повторяющие их за другими ), изображая из себя умников, таки передохли.
    К сожалению, похоже, Деда Мороза все-таки не существует и чудес не бывает :(

     
  • 3.21, emg81 (ok), 00:03, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Ну да, пусть сайт нерабочим будет. Зато будет нерабочим бесплатно.
     
     
  • 4.36, GG (ok), 14:30, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    C какого пересёру он нерабочим-то будет?
    Отзывают только те сертификаты, от которых владельцы доменов и так заранее отказались явным образом.
    Не понятно зачем и как их выпустили, но не должны были и потому и отзывают.
     
     
  • 5.43, Анонимус2 (?), 17:49, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Отзывают сертификаты для которых не делалась проверка. Возможно проверка была бы успешной, но т.к. гарантировать это нельзя - надо отозвать сертификат.
     

  • 1.2, Ы (?), 20:59, 03/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    /dev/null лишнее
     
  • 1.3, Аноним (3), 21:02, 03/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Правильный запрос:

    echo | openssl s_client -showcerts -servername example.com -connect example.com:443 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :

     
     
  • 2.4, Аноним (1), 21:07, 03/03/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ещё более правильный:

    echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial

     
     
  • 3.39, RM (?), 15:17, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    |& - bash'ism
     
     
  • 4.47, Аноним (47), 04:55, 05/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да, будем одноразовые скрипты писать без башизмов, потому что не труъ
     

  • 1.5, freehck (ok), 21:29, 03/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ещё можно вот так проверять:

    <pre>
    curl -XPOST -d 'fqdn=aboveops.com' https://checkhost.unboundtest.com/checkhost
    </pre>

    Вроде бы попроще предложенного выше метода

     
  • 1.6, Аноним (6), 21:35, 03/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    А говорят что интернет независим
     
     
  • 2.13, helgi (??), 21:56, 03/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Кто говорит?
     
     
  • 3.14, пох. (?), 22:08, 03/03/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Извините, г-н Майор (или в вашем ведомстве - Commander? Извините, еще раз) - у вас фигня какая-то в поле для звания написалась!

     
  • 3.38, InuYasha (?), 15:02, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Слон!
     

  • 1.26, Ананимус (?), 01:29, 04/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Отозвали, репорт сделали, выводы, видимо, тоже. Лучше, чем вендоры, которые сперва два года скрывают, что облажались, а потом всячески стараются историю замять.
     
  • 1.28, Анонзо (?), 06:49, 04/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >>(размещён на IP-адресе, заблокированном в РФ Роскомнадзором)

    Нормально зашёл, проверил свой сертификат.

     
  • 1.35, Аноним (35), 14:16, 04/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    короче система слишком сложная и непрозрачная.
    куча всяких "должен", "ожидается", "на самом деле" и т.д.
    вряд ли она может выполнять функции обеспечения безопасности
     
     
  • 2.52, пох. (?), 22:54, 05/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > вряд ли она может выполнять функции обеспечения безопасности

    это смотря чьей и от кого. Безопасность от вредных и нежелательных элементов - может! Еще как может.

      

     

  • 1.48, Аноним (48), 09:36, 05/03/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Есть пример домена который попал в отзыв?
     
     
  • 2.49, Аноним (49), 12:12, 05/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    есть полный список подлежащих отзыву https d4twhgtvn0ff5 cloudfront net caa-... большой текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру