Więcej
Let’s Encrypt unieważnia certyfikaty

Let’s Encrypt unieważnia certyfikaty

04-03-2020 13:57:21

Korzystasz z bezpłatnego certyfikatu SSL? Twoją witrynę mogą dotknąć poważne konsekwencje. Let’s Encrypt unieważni 3 miliony certyfikatów SSL. Zmiana nastąpi 4 marca 2020 roku. Powodem zaistniałej sytuacji jest błąd autoryzacji CAA.

[Aktualizacja: 08.03.2020)
Unieważnienie wydanych certyfikatów, które zapowiedział Let'S Encrypt ostatecznie nie zostało wprowadzone globalnie. Ze względu na zakłócenia, które mógłby spowodować proces - podjęto decyzję o ograniczeniu realizacji planu. 

 

Let’s Encrypt. Bezpłatna certyfikacja

Let’s Encrypt to darmowe rozwiązanie zabezpieczające Twoją witrynę internetową. Certyfikat przewiduje podstawowy poziom zabezpieczenia strony. Rozwiązanie jest często brane pod uwagę w przypadku indywidualnej ochrony witryny, bądź w ramach lokalnych inicjatyw. Dla projektów o większej skali działania, a również wszędzie tam, gdzie dochodzi do transakcji płatniczych bądź podawania danych osobowych zaleca się stosowanie certyfikatów komercyjnych o większym stopniu bezpieczeństwa. Warto zaznaczyć, że bezpłatna certyfikacja dotyczy wyłącznie typu Domain Validation (Domain Validation). Proces jego wydawania przebiega w sposób automatyczny.

3 miliony certyfikatów zostanie unieważnionych

Let’s Encrypt poinformował, że w środę (4 marca 2020 roku) unieważni 3 miliony wydanych certyfikatów. Jeżeli korzystasz z tego typu rozwiązania, Twoja witryna może napotkać pewne nieprawidłowości. Może zostać uznana jako niebezpieczna, a w najgorszym przypadku jako niedostępna.

Błąd rekordu CAA

Źródłem zaistniałej sytuacji jest błąd kontroli rekordu CAA. Jak poinformował Let’s Encrypt wykryta nieprawidłowość wpłynęła na sposób w jaki oprogramowanie sprawdzało własność domeny przed wydaniem certyfikatów. Okazało się, że w niektórych przypadkach kontrola CAA nie została przeprowadzona. Taka sytuacja powinna mieć miejsce zawsze przed wydaniem certyfikatu. Jak dodaje Pratik Savla, Executive Director Let’s Encrypt, błąd ten stanowi łatwy kąsek dla hakerów, którzy mogą podsłuchiwać ruch w sieci, a tym samym zbierać poufne dane użytkowników.

„Błąd: gdy żądanie certyfikatu zawierało N nazw domen, które wymagały ponownego sprawdzenia przez CAA, Boulder wybierał jedną nazwę domeny i sprawdzał ją N razy. W praktyce oznacza to, że jeśli subskrybent zweryfikuje nazwę domeny w czasie X, a rekordy CAA dla tej domeny w czasie X zezwoliły na wydanie Let's Encrypt, ten subskrybent będzie mógł wystawić certyfikat zawierający tę nazwę domeny do X + 30 dni, nawet jeśli ktoś później zainstaluje rekordy CAA w tej nazwie domeny, które zabraniają wydania certyfikatu przez Let's Encrypt. ”

Jak zaznacza Let’s Encrypt błąd został wprowadzony do zautomatyzowanego środowiska zarządzania certyfikatami (Bouldera) już w połowie ubiegłego roku – 25 lipca 2019.

Mam darmowy certyfikat. Co teraz?

Jeżeli korzystasz z darmowego zabezpieczenia Let’s Encrypt powinieneś zostać poinformowany o całej sytuacji i konieczności odnowienia i podmiany certyfikatu. Z dniem 4 marca 2020 roku certyfikaty SSL z błędem CAA zostaną unieważnione. Sprawdź status swojej strony. Możesz to zrobić na: https://checkhost.unboundtest.com/ Wpisz nazwę swojej domeny (bez http, https).

Zabezpieczenie witryny internetowej to podstawowy obowiązek każdego właściciela strony www. Jeżeli korzystasz z bezpłatnej certyfikacji powinieneś jak najszybciej sprawdzić status swojej strony.

 

[Aktualizacja: 8.03.2020 r.]

Let's Encrypt odwołał certyfikaty z grupy tak zwanego wysokiego ryzyka. W przypadku pozostałych, a zostało ich ponad 1 milion, ważność zostaje zachowana do końca okresu. Jak tłumaczą przedstawiciele LE, to najlepsze rozwiązanie w celu zachowania najwyższych standardów funkcjonowania użytkowników ekosystemu.

"Z obawy o potencjalne błędy i niezgodności, które mogłyby dotknąć wiele witryn, a tym samym wzbudzić obawy odwiedzających, ustaliliśmy, że w najlepszym interesie internetu, jest, aby ich data ważności została zachowana do końca terminu. Let’s Encrypt oferuje tylko certyfikaty z okresem ważności 90 dni, więc nieprawidłowości zostaną szybko wyeliminowane z naszego ekosysytemu." ISRG Executive Director

Najnowsze wpisy

Weryfikacja prawa do domeny za pomocą połączenia telefonicznego
03-06-2020 11:45:25

CA/Browser Forum wypracowało nowe metody weryfikacji prawa do domeny. Dotychczas odbywało się to za pomocą wiadomości e-mail, zamieszczenia pliku na serwerze oraz za pomocą DNS TXT. Teraz czas na potwierdzenia prawa do domeny za pomocą połączenia głosowego.

 

Weryfikacja prawa do domeny za pomocą połączenia telefonicznego
Wygasa AddTrust - zewnętrzny CA Root Sectigo
27-04-2020 10:47:05

Sectigo oferowało możliwość podpisywania certyfikatów przy użyciu starszego roota (AddTrust), aby zapewnić obsługę starych systemów i urządzeń. Root ten wygasa 30 maja 2020 r.

Wygasa AddTrust - zewnętrzny CA Root Sectigo
Let’s Encrypt unieważnia certyfikaty
04-03-2020 13:57:21

Korzystasz z bezpłatnego certyfikatu SSL? Twoją witrynę mogą dotknąć poważne konsekwencje. Let’s Encrypt unieważni miliony certyfikatów SSL. Zmiana nastąpi 4 marca 2020 roku. Powodem zaistniałej sytuacji jest błąd autoryzacji CAA.

Let’s Encrypt unieważnia certyfikaty
więcej wpisów