Chyba Let's Encrypt postihne 23 000 CZ domén

Certifikační autorita Let's Encrypt je nucena revokovat přes 3 000 000 TLS/SSL certifikátů zabezpečení internetových domén, přes 23 000 z nich českých. Při validaci a kontrole vlastnictví doménového jména se interní validátor Boulder dělal chyby při vyřizování mnohočetných požadavků. Proto budou všechny postižené certifikáty revokovány, 4. březnem počínaje. Týká se CAA problém Let's Encrypt i vás?

 

Chybu objevil vnitřní validátor CAA kódu zvaný Boulder. Boulder, náš CA software, kontroluje CAA záznamy a zároveň validuje platnost vlastnictví domény uživatelem, pro kterého je certifikát vydáván, uvádí nás do problému Jacob Hoffman-Andrews, šéf vývojářů Let's Encrypt. Většina uživatelů použije certifikát okamžitě po validační kontrole, tu nicméně považujeme platnou po dalších 30 dní. To znamená, že v některých případech musíme CAA záznamy zkontrolovat podruhé těsně před vydáním. Konkrétně - CAA musíme zkontrolovat před vydáním certifikátu (dle směrnice BR §3.2.2.8), což znamená, že jakákoliv doména validováno před více než 8 hodinami vyžaduje opětovnou kontrolu.

Chyba spočívala ve vícenásobných požadavcích směřujících na Let's Encrypt. Boulder, místo aby zkontroloval všechny domény, vybral jednu domény z dávky a zkontroloval ji opakovaně počtem požadavků (z N-skupiny vybral 1 doménu a zkontroloval ji N-krát). V důsledku toho mohl uživatel v podstatě používat certifikát Let's Encrypt po čas X + 30 dní, aniž by fakticky prošla CAA kontrolou Let's Encrypt. 

Rychlost opravy Let's Encrypt byla ukázková. 29. února 2020:

• ve 03:08 potvrdili existenci chyby; 
• ve 03:10 zastavili vydávání certifikátů;
• nasadili opravu a 
• v 05:22 opět uvedli v provoz vydávání certifikátů.

Všechny certifikáty Let's Encrypt vydané v době chybné validace budou revokovány, a to počínaje 4. březnem 2020. 

Domény postižené CAA problémem Let's Encrypt

Zda se problém týká i vaší domény můžete prohledáním kompletního seznamu postižených domén, který na GitHubu zveřejnil datový inženýr Ondřej Kokeš. Případně můžete ověřit nejen CZ domény i na stránce https://unboundtest.com/caaproblem.html. Pro správce mnoha domén vydali  Let's Encrypt nástroj pro kontrolu početných seznamů. 

Kokeš si dal i tu práci a ze seznamu CZ domén vytáhl za pomoci dat Alexa.com nejnavštěvovanější domény postižené problémem. Na https://gist.github.com/kokes/ba1bf02dbaeeb5a71b0010cb0db054af najdete kupříkladu nic.cz, kosik.cz či lide.cz.

Zdroje

• Let's Encrypt Community Support
• Image by Gerd Altmann from Pixabay

 

Daniel Beránek, 03.03.2020 19:47

 

 

 

	Mistral demokratizuje pokročilé funkce AI Francouzský vývojář AI Mistral AI přichází s multimodálním modelem Pixtral Large, aktualizuje vlajkový jazykový model Mistral Large na verzi 24.11 a ve zdarma přístupné betě nabízí pokročilé funkce, jako jsou Web Search, Canvas a...
	SearchGPT kombinuje důvěryhodnost, kontext a přístupnost OpenAI představilo SearchGPT, novou funkci v rámci ChatGPT, která kombinuje sílu umělé inteligence a schopnosti přímého vyhledávání na internetu. Jde o krok směrem k plně integrovaným systémům, které mohou na základě uživatelských...
	Claude 3.5 Sonnet a Haiku: nová kapitola ve vývoji LLM Neustálý vývoj jazykových modelů přináší nové možnosti, jakým způsobem umělá inteligence ovlivňuje nejen interakci mezi uživateli a počítači, ale práci s daty jako takovou. Společnost Anthropic nyní představuje 2  nové modely –...
	Spotify přidává videa Spotify stále rozšiřuje svou nabídku funkcí, aby uživatelům poskytlo co nejkomplexnější hudební zážitek. Nově se snaží zintenzivnit posluchačský zážitek přidáním videí, díky čemuž mohou uživatelé sledovat videoklipy...