Инцидент с уязвимостью в сервисе Let’s Encrypt

Сервис Let’s Encrypt экстренно отключил поддержку проверки владения доменом с использованием метода TLS-SNI-01 из-за разбора сведений о наличии уязвимости в его реализации. Достоверность информации о проблеме оценивается как высокая, но детальные данные о сути уязвимости пока не сообщаются. Упоминается только то, что уязвимость позволяла получить неправомерный сертификат от Let’s Encrypt. В настоящее время не найдено признаков эксплуатации проблемы, кроме проверочных атак, выполненных исследователем, выявившим уязвимость.

По имеющимся данным проблема связана с логикой взаимодействия протокола и сервисов провайдера. Отключение TLS-SNI-01 полностью блокирует проявление уязвимости. Решение об отключении TLS-SNI на постоянной основе пока не принято и работа команды сосредоточена на выработке исправления, которое позволило бы вернуть поддержку TLS-SNI. TLS-SNI позволяет выполнить проверку через обращение к хосту по HTTPS (443 порт). Альтернативными методами проверки являются http-01 (проверка по HTTP через 80 порт) и dns-01 (проверка при помощи DNS).

Источник.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.