Let's Encrypt отозвал 2 миллиона сертификатов из-за нарушений в коде

02.02.2022      11579

Поставщик HTTPS-сертификатов сообщил об обнаружении выпущенных ненадлежащим образом электронных документов. Ошибка произошла из-за исправлений в программном обеспечении.

Масштаб проблемы

Инженер Let's Encrypt по надежности сайта Джиллиан Тесса сообщила, что 26 января третья сторона уведомила компанию о двух нарушениях в коде, который реализует метод проверки TLS с использованием ALPN в программе Boulder. Это ПО используется для автоматизации среды управления сертификатами (ACME).

По этой причине организация отзывает все активные электронные документы, выпущенные и проверенные при помощи запроса TLS-ALPN-01 до 00:48 UTC 26 января 2022 года. Отзыв начался 28 января, всего у компании есть пять дней на эту процедуру. Неправильно выпущенными считаются примерно 2 млн сертификатов, что составляет 1% от всех активных, число которых равно 221 млн.

Все владельцы электронных документов, которых затронула проблема безопасности, получили соответствующее уведомление по email. Им необходимо продлить используемые сертификаты. Также Let's Encrypt подготовила файл со списком всех некорректно выпущенных документов.

Причины отзыва

Представитель Let’s Encrypt пояснил, что проблема связана не с устранением уязвимости. Обновление типа запроса TLS-ALPN-01 было сделано в соответствии с базовыми требованиями, которые требуют использования TLS 1.2 или выше. При получении сертификата Let’s Encrypt серверы организации пытаются подтвердить, что владелец контролирует соответствующие ресурсы в соответствии со стандартом ACME. Для решения этой задачи могут использоваться HTTP, DNS или TLS.

Запрос TLS-ALPN-01 хорошо подходит тем, кто по разным причинам не хочет задействовать порт 80 для HTTP-01. В Let’s Encrypt отмечают, что такой подход наиболее приемлем для авторов обратных прокси-серверов с завершением TLS, которые хотят выполнять проверку на основе хоста полностью на уровне TLS.

По словам разработчика организации Аарона Гейбла, проверочный код затронули два изменения в клиентском приложении, которые намеренно применяют TLS-ALPN-01. Одно нововведение ограничивает подключение через протоколы ниже версии TLS 1.2, которые считаются небезопасными. Также отключена поддержка устаревшего OID (идентификатора объекта) 1.3.6.1.5.5.7.1.30.1. Он использоваться для идентификации расширения «acmeIdentifier» в ранних версиях RFC 8737. ПО Let's Encrypt теперь принимает только стандартизированный OID. 1.3.6.1.5.5.7.1.31.

Из-за изменений в программном обеспечении попытки проверки сертификата с использованием TLS 1.1 или неподдерживаемым OID приведут к ошибке, именно поэтому необходим повторный перевыпуск электронных документов.


Автор:
Аналитик


См. также

Новость ИТ-Новость

Минцифры подготовило проект постановления по запуску платформы, на которой ИТ-специалисты могут пройти добровольное тестирование и подтвердить свою квалификацию.

11.12.2024    314    user1915669    1       

2

Новость ИТ-Новость ФНС ЭДО

Федеральная налоговая служба запустила интерактивный сервис, позволяющий формировать в машиночитаемом виде договоры, контракты, соглашения и спецификации. Чтобы создать документ и скачать получившийся файл, регистрация не требуется.

03.12.2024    544    user2114475    0       

2

Новость ИТ-Новость

Российский Альянс по искусственному интеллекту обновил требования к специалистам по ИИ: вышла новая модель с основными профессиями и навыками. Теперь базовых профессий в сфере ИИ осталось только четыре.

01.11.2024    771    user1915669    0       

3

Новость ИТ-Новость

Система платежей «Волна» по планам сделает возможной бесконтактную оплату для владельцев IPhone в России, а BRICS Pay позволит совершать безналичные расчеты иностранцам по картам Visa и Mastercard.

23.10.2024    989    AnastasiaKl    0       

4

Новость ИТ-компания ИТ-Новость

Конструктор сайтов Wix уходит из России с 12 сентября 2024 года – перестанут работать все российский аккаунты. Сайты, привязанные к аккаунтам, также перестанут работать.

11.09.2024    1003    user1915669    2       

2

Новость Искусственный интеллект ИТ-Новость

ИИ научат разработке цифровых интегральных микросхем – несколько российских научных институтов заявили об участии в проекте. Проект рассчитан на 3 года – с 2024 по 2026.

23.07.2024    640    user1915669    0       

2

Новость Дата-центры Искусственный интеллект ИТ-Новость

Развитие искусственного интеллекта и цифровых сервисов в России стало причиной роста потребности в мощных центрах обработки данных. Эксперты прогнозируют, что дефицит ЦОД, который уже наблюдается сегодня, в ближайшие годы будет только усиливаться.

18.07.2024    785    AnastasiaKl    0       

1

Новость ИТ-Новость

В сентябре 2024 года видеоигры в России начнут маркировать – пока на добровольной основе. Геймерам будут сообщать о семи видах чувствительного (неприятного) контента в игре.

17.07.2024    849    user1915669    0       

1
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
Оставьте свое сообщение