Więcej
Let’s Encrypt unieważnia certyfikaty

Let’s Encrypt unieważnia certyfikaty

04-03-2020 13:57:21

Korzystasz z bezpłatnego certyfikatu SSL? Twoją witrynę mogą dotknąć poważne konsekwencje. Let’s Encrypt unieważni 3 miliony certyfikatów SSL. Zmiana nastąpi 4 marca 2020 roku. Powodem zaistniałej sytuacji jest błąd autoryzacji CAA.

[Aktualizacja: 08.03.2020)
Unieważnienie wydanych certyfikatów, które zapowiedział Let'S Encrypt ostatecznie nie zostało wprowadzone globalnie. Ze względu na zakłócenia, które mógłby spowodować proces - podjęto decyzję o ograniczeniu realizacji planu. 

 

Let’s Encrypt. Bezpłatna certyfikacja

Let’s Encrypt to darmowe rozwiązanie zabezpieczające Twoją witrynę internetową. Certyfikat przewiduje podstawowy poziom zabezpieczenia strony. Rozwiązanie jest często brane pod uwagę w przypadku indywidualnej ochrony witryny, bądź w ramach lokalnych inicjatyw. Dla projektów o większej skali działania, a również wszędzie tam, gdzie dochodzi do transakcji płatniczych bądź podawania danych osobowych zaleca się stosowanie certyfikatów komercyjnych o większym stopniu bezpieczeństwa. Warto zaznaczyć, że bezpłatna certyfikacja dotyczy wyłącznie typu Domain Validation (Domain Validation). Proces jego wydawania przebiega w sposób automatyczny.

3 miliony certyfikatów zostanie unieważnionych

Let’s Encrypt poinformował, że w środę (4 marca 2020 roku) unieważni 3 miliony wydanych certyfikatów. Jeżeli korzystasz z tego typu rozwiązania, Twoja witryna może napotkać pewne nieprawidłowości. Może zostać uznana jako niebezpieczna, a w najgorszym przypadku jako niedostępna.

Błąd rekordu CAA

Źródłem zaistniałej sytuacji jest błąd kontroli rekordu CAA. Jak poinformował Let’s Encrypt wykryta nieprawidłowość wpłynęła na sposób w jaki oprogramowanie sprawdzało własność domeny przed wydaniem certyfikatów. Okazało się, że w niektórych przypadkach kontrola CAA nie została przeprowadzona. Taka sytuacja powinna mieć miejsce zawsze przed wydaniem certyfikatu. Jak dodaje Pratik Savla, Executive Director Let’s Encrypt, błąd ten stanowi łatwy kąsek dla hakerów, którzy mogą podsłuchiwać ruch w sieci, a tym samym zbierać poufne dane użytkowników.

„Błąd: gdy żądanie certyfikatu zawierało N nazw domen, które wymagały ponownego sprawdzenia przez CAA, Boulder wybierał jedną nazwę domeny i sprawdzał ją N razy. W praktyce oznacza to, że jeśli subskrybent zweryfikuje nazwę domeny w czasie X, a rekordy CAA dla tej domeny w czasie X zezwoliły na wydanie Let's Encrypt, ten subskrybent będzie mógł wystawić certyfikat zawierający tę nazwę domeny do X + 30 dni, nawet jeśli ktoś później zainstaluje rekordy CAA w tej nazwie domeny, które zabraniają wydania certyfikatu przez Let's Encrypt. ”

Jak zaznacza Let’s Encrypt błąd został wprowadzony do zautomatyzowanego środowiska zarządzania certyfikatami (Bouldera) już w połowie ubiegłego roku – 25 lipca 2019.

Mam darmowy certyfikat. Co teraz?

Jeżeli korzystasz z darmowego zabezpieczenia Let’s Encrypt powinieneś zostać poinformowany o całej sytuacji i konieczności odnowienia i podmiany certyfikatu. Z dniem 4 marca 2020 roku certyfikaty SSL z błędem CAA zostaną unieważnione. Sprawdź status swojej strony. Możesz to zrobić na: https://checkhost.unboundtest.com/ Wpisz nazwę swojej domeny (bez http, https).

Zabezpieczenie witryny internetowej to podstawowy obowiązek każdego właściciela strony www. Jeżeli korzystasz z bezpłatnej certyfikacji powinieneś jak najszybciej sprawdzić status swojej strony.

 

[Aktualizacja: 8.03.2020 r.]

Let's Encrypt odwołał certyfikaty z grupy tak zwanego wysokiego ryzyka. W przypadku pozostałych, a zostało ich ponad 1 milion, ważność zostaje zachowana do końca okresu. Jak tłumaczą przedstawiciele LE, to najlepsze rozwiązanie w celu zachowania najwyższych standardów funkcjonowania użytkowników ekosystemu.

"Z obawy o potencjalne błędy i niezgodności, które mogłyby dotknąć wiele witryn, a tym samym wzbudzić obawy odwiedzających, ustaliliśmy, że w najlepszym interesie internetu, jest, aby ich data ważności została zachowana do końca terminu. Let’s Encrypt oferuje tylko certyfikaty z okresem ważności 90 dni, więc nieprawidłowości zostaną szybko wyeliminowane z naszego ekosysytemu." ISRG Executive Director

Najnowsze wpisy

Firefox wprowadził tryb HTTPS-only
21-01-2021 14:17:11

Pod koniec zeszłego roku na rynku zadebiutowała nowa wersja przeglądarki – Firefox ’83. Użytkownicy znajdą w niej sporo aktualizacji i nowości. Jedną z wprowadzonych zmian, ku większemu bezpieczeństwu i zaufaniu użytkowników, jest tryb HTTPS-Only.

Firefox wprowadził tryb HTTPS-only
Masz androida? Twój Let's Encrypt może nie zadziałać
09-12-2020 14:15:37

Certyfikat Let’s Encrypt może nie zadziałać nawet na co trzecim urządzeniu z systemem operacyjnym Android. W związku z zapowiedzią, w 2021 roku Let’s Encrypt zaprzestanie używać DST Root X3 na rzecz własnego certyfikatu głównego – ISRG Root X1.

Masz androida? Twój Let's Encrypt może nie zadziałać
ECC w szyfrowaniu SSL
07-10-2020 11:28:10

Internet stał się nieodłączną częścią naszego życia. Pracujemy, używając sieci. Robimy zakupy, płacimy rachunki, dokonujemy różnego typu transakcji. Nasze dane wrażliwe, podlegają ciągłej dystrybucji. Jak chronić ich bezpieczeństwo? Odpowiedzią na to są certyfikaty SSL. Śmiało możemy powiedzieć, że są polisą ubezpieczeniową naszych danych.

 

ECC w szyfrowaniu SSL
więcej wpisów