Więcej
Let’s Encrypt unieważnia certyfikaty

Let’s Encrypt unieważnia certyfikaty

04-03-2020 13:57:21

Korzystasz z bezpłatnego certyfikatu SSL? Twoją witrynę mogą dotknąć poważne konsekwencje. Let’s Encrypt unieważni 3 miliony certyfikatów SSL. Zmiana nastąpi 4 marca 2020 roku. Powodem zaistniałej sytuacji jest błąd autoryzacji CAA.

Let’s Encrypt. Bezpłatna certyfikacja

Let’s Encrypt to darmowe rozwiązanie zabezpieczające Twoją witrynę internetową. Certyfikat przewiduje podstawowy poziom zabezpieczenia strony. Rozwiązanie jest często brane pod uwagę w przypadku indywidualnej ochrony witryny, bądź w ramach lokalnych inicjatyw. Dla projektów o większej skali działania, a również wszędzie tam, gdzie dochodzi do transakcji płatniczych bądź podawania danych osobowych zaleca się stosowanie certyfikatów komercyjnych o większym stopniu bezpieczeństwa. Warto zaznaczyć, że bezpłatna certyfikacja dotyczy wyłącznie typu Domain Validation (Domain Validation). Proces jego wydawania przebiega w sposób automatyczny.

3 miliony certyfikatów zostanie unieważnionych

Let’s Encrypt poinformował, że w środę (4 marca 2020 roku) unieważni 3 miliony wydanych certyfikatów. Jeżeli korzystasz z tego typu rozwiązania, Twoja witryna może napotkać pewne nieprawidłowości. Może zostać uznana jako niebezpieczna, a w najgorszym przypadku jako niedostępna.

Błąd rekordu CAA

Źródłem zaistniałej sytuacji jest błąd kontroli rekordu CAA. Jak poinformował Let’s Encrypt wykryta nieprawidłowość wpłynęła na sposób w jaki oprogramowanie sprawdzało własność domeny przed wydaniem certyfikatów. Okazało się, że w niektórych przypadkach kontrola CAA nie została przeprowadzona. Taka sytuacja powinna mieć miejsce zawsze przed wydaniem certyfikatu. Jak dodaje Pratik Savla, Executive Director Let’s Encrypt, błąd ten stanowi łatwy kąsek dla hakerów, którzy mogą podsłuchiwać ruch w sieci, a tym samym zbierać poufne dane użytkowników.

„Błąd: gdy żądanie certyfikatu zawierało N nazw domen, które wymagały ponownego sprawdzenia przez CAA, Boulder wybierał jedną nazwę domeny i sprawdzał ją N razy. W praktyce oznacza to, że jeśli subskrybent zweryfikuje nazwę domeny w czasie X, a rekordy CAA dla tej domeny w czasie X zezwoliły na wydanie Let's Encrypt, ten subskrybent będzie mógł wystawić certyfikat zawierający tę nazwę domeny do X + 30 dni, nawet jeśli ktoś później zainstaluje rekordy CAA w tej nazwie domeny, które zabraniają wydania certyfikatu przez Let's Encrypt. ”

Jak zaznacza Let’s Encrypt błąd został wprowadzony do zautomatyzowanego środowiska zarządzania certyfikatami (Bouldera) już w połowie ubiegłego roku – 25 lipca 2019.

Mam darmowy certyfikat. Co teraz?

Jeżeli korzystasz z darmowego zabezpieczenia Let’s Encrypt powinieneś zostać poinformowany o całej sytuacji i konieczności odnowienia i podmiany certyfikatu. Z dniem 4 marca 2020 roku certyfikaty SSL z błędem CAA zostaną unieważnione. Sprawdź status swojej strony. Możesz to zrobić na: https://checkhost.unboundtest.com/ Wpisz nazwę swojej domeny (bez http, https).

Zabezpieczenie witryny internetowej to podstawowy obowiązek każdego właściciela strony www. Jeżeli korzystasz z bezpłatnej certyfikacji powinieneś jak najszybciej sprawdzić status swojej strony.

Najnowsze wpisy

Let’s Encrypt unieważnia certyfikaty
04-03-2020 13:57:21

Korzystasz z bezpłatnego certyfikatu SSL? Twoją witrynę mogą dotknąć poważne konsekwencje. Let’s Encrypt unieważni miliony certyfikatów SSL. Zmiana nastąpi 4 marca 2020 roku. Powodem zaistniałej sytuacji jest błąd autoryzacji CAA.

Let’s Encrypt unieważnia certyfikaty
Chrome zablokuje pobieranie załączników HTTP ze stron HTTPS
18-02-2020 15:28:21

Google będzie chronić użytkowników Chrome przed pobieraniem niebezpiecznych plików, stopniowo blokując ściąganie ze stron zabezpieczonych certyfikatem SSL załączników korzystających z HTTP.

Chrome zablokuje pobieranie załączników HTTP ze stron HTTPS
S/MIME - jak uruchomić certyfikat do szyfrowania wiadomości e-mail
10-02-2020 15:46:36

W czasach wszechobecnej inwigilacji oraz zagrożeń, jakie wiążą się z korzystaniem z Internetu, naturalną wydaje się potrzeba zabezpieczenia korespondencji prowadzonej z użyciem poczty elektronicznej. Do tego celu powszechnie stosowane są certyfikaty S/MIME, a jednym z najpopularniejszych jest certyfikat SSL Sectigo Secure E-mail. Rozwiązanie to pozwala zabezpieczyć konkretne adresy e-mail, dzięki czemu wiadomości są w pełni zaszyfrowane, a firma może ustrzec się przed wyciekiem ważnych danych czy phishingiem. S/MIME to rozwiązanie dedykowane zarówno dla podmiotów gospodarczych, jak i osób, które cenią sobie prywatność.

S/MIME - jak uruchomić certyfikat do szyfrowania wiadomości e-mail
więcej wpisów