Let’s Encrypt ще анулира 3 млн. сертификата, поради бъг
Организацията уведомява засегнатите на посочените от тях имейли
Милиони уеб уеб сайтове ще би трябвало да си преинсталират Let’s Encrypt документите
(снимка: CC0 Public Domain)
В околните часове се чака Let’s Encrypt да анулира над 3 ми лио на документа, заради бъг в сигурността. Причината е, че до момента организацията е издала 3048289 TLS документа за сигурност без инспекция на полето CAA (Certificate Authority Authorization) на домейна.
Липсата на инспекция на наложителното полето CAA се дължи на бъг, който е открит в бекенд кода на софтуера за автоматизирано издаване на документи. По-конкретно грешката е открита в сървърния програмен продукт Boulder, който се употребява от Let’s Encrypt и е виновен за верификация на потребителя и неговото домейн име, преди издаването на TLS документ.
CAA (Certificate Authority Authorization) е стандарт за сигурност, утвърден през 2017 година, който разрешава на притежателите на домейни да лимитират опцията на CA (Certificate Authorities) да издава документи за сигурност за техния домейн без предварителна оторизация от страна на домейн притежателя.
още по тематиката
Собствениците на домейн имена могат да прибавят DNS запис от вид CAA и да попълнят лист с оторизирани CA за издаване на документи за сигурност от тяхно име.
Всички CA са задължени да съблюдават CAA спецификацията, като в противоположен случай е допустимо да бъдат глобени от разработчиците на браузъри като Гугъл (Chrome), Microsoft (Edge, IE), Apple (Safari), Opera и други
Добрата вест е, че екипът на Let’s Encrypt към този момент се е погрижил за премахване на грешката още на 1 март, неделя, по време на авансово разгласен двучасов прозорец за поддръжка.
Според организацията, малко евентуално е някой да се възползва от открития бъг. Въпреки това Let’s Encrypt е взела решение да следва прецизно индустриалните правила за сигурност и ще анулира всички издадени досега документи без инспекция на CAA полето.
Организацията също по този начин показва, че досега са издадени 3 милиона проблематични документа от общо 160 милиона.
Let’s Encrypt споделя, че ще уведоми всички притежатели на документи, които ще бъдат анулирани, посредством електронно известие на посочения от тях имейл адрес. Въпреки това организацията има вяра, че доста от записаните електронни адреси на консуматори може да са невалидни.
Системни админи и уебмастъри могат да ревизират дали издадените им документи попадат в листата за отменяне на специфична страница в уеб страницата на Let’s Encrypt.
Милиони уеб уеб сайтове ще би трябвало да си преинсталират Let’s Encrypt документите
(снимка: CC0 Public Domain)
В околните часове се чака Let’s Encrypt да анулира над 3 ми лио на документа, заради бъг в сигурността. Причината е, че до момента организацията е издала 3048289 TLS документа за сигурност без инспекция на полето CAA (Certificate Authority Authorization) на домейна.
Липсата на инспекция на наложителното полето CAA се дължи на бъг, който е открит в бекенд кода на софтуера за автоматизирано издаване на документи. По-конкретно грешката е открита в сървърния програмен продукт Boulder, който се употребява от Let’s Encrypt и е виновен за верификация на потребителя и неговото домейн име, преди издаването на TLS документ.
CAA (Certificate Authority Authorization) е стандарт за сигурност, утвърден през 2017 година, който разрешава на притежателите на домейни да лимитират опцията на CA (Certificate Authorities) да издава документи за сигурност за техния домейн без предварителна оторизация от страна на домейн притежателя.
още по тематиката
Собствениците на домейн имена могат да прибавят DNS запис от вид CAA и да попълнят лист с оторизирани CA за издаване на документи за сигурност от тяхно име.
Всички CA са задължени да съблюдават CAA спецификацията, като в противоположен случай е допустимо да бъдат глобени от разработчиците на браузъри като Гугъл (Chrome), Microsoft (Edge, IE), Apple (Safari), Opera и други
Добрата вест е, че екипът на Let’s Encrypt към този момент се е погрижил за премахване на грешката още на 1 март, неделя, по време на авансово разгласен двучасов прозорец за поддръжка.
Според организацията, малко евентуално е някой да се възползва от открития бъг. Въпреки това Let’s Encrypt е взела решение да следва прецизно индустриалните правила за сигурност и ще анулира всички издадени досега документи без инспекция на CAA полето.
Организацията също по този начин показва, че досега са издадени 3 милиона проблематични документа от общо 160 милиона.
Let’s Encrypt споделя, че ще уведоми всички притежатели на документи, които ще бъдат анулирани, посредством електронно известие на посочения от тях имейл адрес. Въпреки това организацията има вяра, че доста от записаните електронни адреси на консуматори може да са невалидни.
Системни админи и уебмастъри могат да ревизират дали издадените им документи попадат в листата за отменяне на специфична страница в уеб страницата на Let’s Encrypt.
Източник: technews.bg
КОМЕНТАРИ