The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

10.01.2018 09:30  Инцидент с уязвимостью в сервисе Let's Encrypt

Сервис Let's Encrypt экстренно отключил поддержку проверки владения доменом с использованием метода TLS-SNI-01 из-за разбора сведений о наличии уязвимости в его реализации. Достоверность информации о проблеме оценивается как высокая, но детальные данные о сути уязвимости пока не сообщаются. Упоминается только то, что уязвимость позволяла получить неправомерный сертификат от Let's Encrypt. В настоящее время не найдено признаков эксплуатации проблемы, кроме проверочных атак, выполненных исследователем, выявившим уязвимость.

По имеющимся данным проблема связана с логикой взаимодействия протокола и сервисов провайдера. Отключение TLS-SNI-01 полностью блокирует проявление уязвимости. Решение об отключении TLS-SNI на постоянной основе пока не принято и работа команды сосредоточена на выработке исправления, которое позволило бы вернуть поддержку TLS-SNI. TLS-SNI позволяет выполнить проверку через обращение к хосту по HTTPS (443 порт). Альтернативными методами проверки являются http-01 (проверка по HTTP через 80 порт) и dns-01 (проверка при помощи DNS).

Дополнение: Опубликован отчёт с описанием метода атаки и плана по возвращению поддержки TLS-SNI-01.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Проект Let's Encrypt опубликовал планы на 2018 год
  3. OpenNews: Взломан официальный форум проекта Ubuntu
  4. OpenNews: Взлом инфраструктуры Linux Mint привёл к распространению ISO-образов с бэкдором
  5. OpenNews: Арестован подозреваемый во взломе kernel.org
  6. OpenNews: Второй взлом инфраструктуры BitTorrent-клиента Transmission
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: letsencrypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Витя Пиканов, 09:45, 10/01/2018 [ответить] [смотреть все]    [к модератору]
  • –9 +/
    Капец, ждем подробностей.
     
  • 1.2, Аноним, 10:03, 10/01/2018 [ответить] [смотреть все]    [к модератору]
  • +37 +/
    Теперь все самые умные начнут орать, что бесплатнатные CA - зло, забыв указать, что платные - существенно большее зло, хотя бы потому, что платные будут о проблеме молчать до последнего (годами!), чтобы только продолжать з/п и бонусы получать, а LE взялись за решение, не дожидаясь массовой эксплуатации вопроса.
     
     
  • 2.4, Аноним, 10:08, 10/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • –3 +/
    Любопытная гипотеза Впрочем, насчет пруфов можешь не беспокоиться -- я уже слеп... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.6, X4asd, 10:18, 10/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +14 +/
    > и теперь ненавижу "платные СА" всей душой и сердцем

    а что -- есть те кто их любят?

     
     
  • 4.28, А, 12:26, 10/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    Судя по ценам на сертификаты от Симантека ("пока не всплыли жуткие подробности") - да.
     
     
  • 5.46, dep, 15:55, 10/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Какой там был порядок цен до и после?
     
     
  • 6.61, Аноним, 21:10, 10/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Больше миллиарда зелени за контору целиком до и чуть меньше после.
     
     
  • 7.62, depeche, 21:11, 10/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Та я о ценах сертификатов спрашиваю.
     
  • 3.48, Аноним, 16:44, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Можешь больше не просить у него пруфы, т к прими мои слова за доказательство е... весь текст скрыт [показать]
     
     
  • 4.55, Аноним, 18:27, 10/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Фу таким быть!
     
     
  • 5.63, Аноним, 21:32, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Куда деваться если борбьа за выживание обязывает Можешь меня ненавидеть, но нас... весь текст скрыт [показать]
     
  • 4.70, Алког, 06:05, 13/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Угу Обворовываемые лохи однако причитать будут Впрочем конечно кого эти лохи... весь текст скрыт [показать]
     
  • 2.5, Антонима, 10:16, 10/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    пока лодку раскачиваете только вы, вот уже и предсказали вопли самых умных кас... весь текст скрыт [показать] [показать ветку]
     
  • 2.8, anomymous, 10:42, 10/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –12 +/
    Зло - бесплатные CA с интервалом обновления 3 месяца.
     
     
  • 3.9, A.Stahl, 10:51, 10/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +8 +/
    Ну не руками же тебе их обновлять. Скрипт есть.
     
     
  • 4.18, anomymous, 11:57, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –18 +/
    Как бы тебе объяснить я не доверяю системам, выдающим сертификаты без подтвержд... весь текст скрыт [показать]
     
     
  • 5.22, A.Stahl, 12:21, 10/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +15 +/
    Я не спец во всяких этих сертификатах-секьюриратах, но всегда считал что сертификаты это не про "мясо, кожу и кости", а про соответствие домена и пришедших данных.
     
     
  • 6.64, jfjfjfj, 21:52, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    То есть выдал судебное постановление регистратору - и можешь подменять сертифика... весь текст скрыт [показать]
     
     
  • 7.71, Алког, 06:28, 13/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    И тут внезапно всплывают такие вещи, как легитимность так называемых судов , ко... весь текст скрыт [показать]
     
  • 5.29, А, 12:28, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Т е подтверждения владения доменом тебе мало А капчу распознать через сеть ... весь текст скрыт [показать]
     
     
  • 6.35, КО, 13:31, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А разве речь идет о владении доменом Вроде бы достаточно слегка им поуправлять,... весь текст скрыт [показать]
     
  • 6.38, ., 13:59, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –5 +/
    владение и возможность нагадить на этом домене - разные вещи Ваш любимый ибо ... весь текст скрыт [показать]
     
  • 5.56, Аноним, 18:35, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Защита от регистрации домена ботом 8212 забота регистратора домена и к сертиф... весь текст скрыт [показать]
     
  • 5.60, Аноним, 19:53, 10/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > органических субстанций

    Ты расист и ксенофоб!

     
  • 4.20, anomymous, 12:05, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ну и да, сотни любителей скриптов с этим отключением TLS-SNI challenge уже влете... весь текст скрыт [показать]
     
     
  • 5.57, Аноним, 19:23, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Отлично, минус сотни ботов для ботнетов Глядишь научатся следить за серверами х... весь текст скрыт [показать]
     
  • 5.58, angra, 19:45, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    И как же именно они влетели Или ты не в курсе, что сертификат можно обновлять н... весь текст скрыт [показать]
     
     
  • 6.66, Sw00p aka Jerom, 02:11, 11/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >>можно обновлять

    обновляешь - по истечению срока, до - отзываеш

     
  • 3.12, Andrey Mitrofanov, 11:10, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    У нас есть гордый победитель и первонкс номинации все самые умные начнут орать ... весь текст скрыт [показать]
     
  • 3.31, А, 12:29, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Зло - ленивые админы Раз в год они бегают по серверам и меняют серты руками, т ... весь текст скрыт [показать]
     
     
  • 4.39, ., 14:02, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    мы осилили И совершенно сознательно не доверяем критическую часть своей безопас... весь текст скрыт [показать]
     
     
  • 5.43, gaga, 14:51, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ну хз что ты там не можешь скриптом обновить У ЛЕ есть опция - только скачать с... весь текст скрыт [показать]
     
     
  • 6.51, _, 17:29, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну положим твоим коллегам повезло И таких аж 0 0003 - Остальные берут копип... весь текст скрыт [показать]
     
     
  • 7.52, пох, 17:52, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    да не очень Радости читать такие письма щастья, когда раз в месяц надо обновлят... весь текст скрыт [показать]
     
     
  • 8.54, непох, 18:16, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    я конечно подозревал, что понятия жава , ынтрепрайз и индусы неслабо корелл... весь текст скрыт [показать]
     
  • 5.67, Гентушник, 08:27, 11/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ирония в том что как раз сегодня у хостинг провайдера Хостинг-Центр на всех до... весь текст скрыт [показать]
     
  • 2.33, Аноним, 12:50, 10/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Бесплатные CA, платные CA оба хуже ц Даёшь cert-pinning в каждый браузер ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.65, XoRe, 22:29, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Просто пока нельзя автоматом заработать много денежков за одно поддельное письме... весь текст скрыт [показать]
     
  • 2.59, Аноним, 19:50, 10/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    > чтобы только продолжать з/п <оверквотинг удален> получать

    Вот же ж сволочи!

     
  • 1.3, Аноним, 10:06, 10/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    хорошо что исследуют и закрывают. Это правильно.
     
  • 1.7, Аноним, 10:20, 10/01/2018 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Хост в SNI передаётся в открытом виде без шифрования Я правильно понимаю, что ... весь текст скрыт [показать]
     
     
  • 2.36, Аноним, 13:34, 10/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Вряд ли ACME уязвим к MITM by design, это с самого начала было понятно и никого... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.47, Crazy Alex, 16:08, 10/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Ну так MITM надо через CT отслеживать, по идее
     
  • 1.11, Аноним, 11:05, 10/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    >не найдено признаков эксплуатации проблемы
     
  • 1.14, Аноним, 11:19, 10/01/2018 [ответить] [смотреть все]     [к модератору]  
  • –18 +/
    Теперь ждем, когда поддержку Let s Encrypt удалят из браузеров Давно пора Бесп... весь текст скрыт [показать]
     
     
  • 2.15, Аноним, 11:32, 10/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +13 +/
    А платные сертификаты, выдаваемые кому попало по умолчанию сильно ли лучше?
     
     
  • 3.19, Аноним, 12:04, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Конечно нет, так-что ждём когда браузеры перестанут поддерживать любые сертифика... весь текст скрыт [показать]
     
     
  • 4.41, Аноним, 14:11, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ждём когда браузеры перестанут поддерживать любые сертификаты, кроме государстве... весь текст скрыт [показать]
     
     
  • 5.49, Аноним, 16:47, 10/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Это троллинг или глупый анон в упор не видит угрозу?
     
     
  • 6.50, Аноним, 17:26, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    глупый анон забыл придумать способ проверки самоподписанного серта в мире огорож... весь текст скрыт [показать]
     
  • 2.16, Andrey Mitrofanov, 11:38, 10/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Да, не-е-е Только лишь следующие три месяца, товарищ прапорщик Курите ... весь текст скрыт [показать] [показать ветку]
     
  • 2.21, ., 12:19, 10/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    ну вы ж понимаете, что поддержку startssl удалили не за то что они якобы, теоре... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, А, 12:30, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну да, только Startssl так на все правила клали, что их, конечно, нужно было про... весь текст скрыт [показать]
     
  • 2.45, key, 15:32, 10/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Как будто есть разница по сравнению с платными.
     
  • 1.17, Дуплик, 11:55, 10/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    HTTPS Everywhere бгггг.
     
     
  • 2.23, Michael Shigorin, 12:22, 10/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –3 +/
    > HTTPS Everywhere бгггг.

    s/he/ho/

     
  • 1.27, Аноним, 12:26, 10/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    Let's Encrypt лучший! Молодцы, использую везде.
     
     
  • 2.69, Шкурка_от_головки, 14:14, 11/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Нищщеброт, он такой
     
  • 1.34, xm, 12:59, 10/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Подробнее
    https://community.letsencrypt.org/t/2018-01-09-issue-with-tls-sni-01-and-share
     
     
  • 2.37, Аноним, 13:42, 10/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Они и правда такие наивные Это ж, небось, большинство шаредов, которых миллионы... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, xm, 14:38, 10/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Угу. Типа "плохих мы не пустим".
     
  • 3.44, Аноним, 15:29, 10/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Шареды на Plesk е которых вроде как раз большинство по миру не подвержены этом... весь текст скрыт [показать]
     
  • 3.53, angra, 18:12, 10/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Я как то не наблюдал на шаредах возможности загрузить свой сертификат.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor