Let's Encrypt отозвал 2 миллиона сертификатов из-за нарушений в коде

Let's Encrypt отозвал 2 миллиона сертификатов из-за нарушений в коде
02.02.2022
11667

Поставщик HTTPS-сертификатов сообщил об обнаружении выпущенных ненадлежащим образом электронных документов. Ошибка произошла из-за исправлений в программном обеспечении.

Масштаб проблемы

Инженер Let's Encrypt по надежности сайта Джиллиан Тесса сообщила, что 26 января третья сторона уведомила компанию о двух нарушениях в коде, который реализует метод проверки TLS с использованием ALPN в программе Boulder. Это ПО используется для автоматизации среды управления сертификатами (ACME).

По этой причине организация отзывает все активные электронные документы, выпущенные и проверенные при помощи запроса TLS-ALPN-01 до 00:48 UTC 26 января 2022 года. Отзыв начался 28 января, всего у компании есть пять дней на эту процедуру. Неправильно выпущенными считаются примерно 2 млн сертификатов, что составляет 1% от всех активных, число которых равно 221 млн.

Все владельцы электронных документов, которых затронула проблема безопасности, получили соответствующее уведомление по email. Им необходимо продлить используемые сертификаты. Также Let's Encrypt подготовила файл со списком всех некорректно выпущенных документов.

Причины отзыва

Представитель Let’s Encrypt пояснил, что проблема связана не с устранением уязвимости. Обновление типа запроса TLS-ALPN-01 было сделано в соответствии с базовыми требованиями, которые требуют использования TLS 1.2 или выше. При получении сертификата Let’s Encrypt серверы организации пытаются подтвердить, что владелец контролирует соответствующие ресурсы в соответствии со стандартом ACME. Для решения этой задачи могут использоваться HTTP, DNS или TLS.

Запрос TLS-ALPN-01 хорошо подходит тем, кто по разным причинам не хочет задействовать порт 80 для HTTP-01. В Let’s Encrypt отмечают, что такой подход наиболее приемлем для авторов обратных прокси-серверов с завершением TLS, которые хотят выполнять проверку на основе хоста полностью на уровне TLS.

По словам разработчика организации Аарона Гейбла, проверочный код затронули два изменения в клиентском приложении, которые намеренно применяют TLS-ALPN-01. Одно нововведение ограничивает подключение через протоколы ниже версии TLS 1.2, которые считаются небезопасными. Также отключена поддержка устаревшего OID (идентификатора объекта) 1.3.6.1.5.5.7.1.30.1. Он использоваться для идентификации расширения «acmeIdentifier» в ранних версиях RFC 8737. ПО Let's Encrypt теперь принимает только стандартизированный OID. 1.3.6.1.5.5.7.1.31.

Из-за изменений в программном обеспечении попытки проверки сертификата с использованием TLS 1.1 или неподдерживаемым OID приведут к ошибке, именно поэтому необходим повторный перевыпуск электронных документов.

Если вам удобнее смотреть новости в телеграме, то вот наша группа – ИНФОСТАРТ.

Автор:
Аналитик

См. также

После ухода Slack из России в 2024 году бизнес стал переходить на отечественные корпоративные мессенджеры. Один из самых универсальных — 1С-Коннект. Расскажем подробнее о нём и других решениях российских разработчиков.

24.04.2025    366    AnastasiaKl    4       

3

С января по март 2025 года Ассоциация КП ПОО провела исследование отечественных систем виртуализации, коммуникации и контейнеризации по 266 показателям. Результаты показали, что медианная технологическая зрелость у этих ИТ-решений превышает 75%.

04.04.2025    1141    orenk0t    1       

0

Минцифры подготовило проект постановления по запуску платформы, на которой ИТ-специалисты могут пройти добровольное тестирование и подтвердить свою квалификацию.

11.12.2024    1142    user1915669    3       

2

Федеральная налоговая служба запустила интерактивный сервис, позволяющий формировать в машиночитаемом виде договоры, контракты, соглашения и спецификации. Чтобы создать документ и скачать получившийся файл, регистрация не требуется.

03.12.2024    919    user2114475    0       

2

Российский Альянс по искусственному интеллекту обновил требования к специалистам по ИИ: вышла новая модель с основными профессиями и навыками. Теперь базовых профессий в сфере ИИ осталось только четыре.

01.11.2024    1057    user1915669    0       

3

Система платежей «Волна» по планам сделает возможной бесконтактную оплату для владельцев IPhone в России, а BRICS Pay позволит совершать безналичные расчеты иностранцам по картам Visa и Mastercard.

23.10.2024    1394    AnastasiaKl    0       

4

Конструктор сайтов Wix уходит из России с 12 сентября 2024 года – перестанут работать все российский аккаунты. Сайты, привязанные к аккаунтам, также перестанут работать.

11.09.2024    1315    user1915669    2       

2

ИИ научат разработке цифровых интегральных микросхем – несколько российских научных институтов заявили об участии в проекте. Проект рассчитан на 3 года – с 2024 по 2026.

23.07.2024    977    user1915669    0       

2
Инфостарт бот

Оставьте свое сообщение