Let’s Encrypt

  • Ако ползвате устройство с по-стара версия от Android 7.1.1, то тази новина ви касае

    След 21 септември 2021 г. много уебсайтове няма да могат да се зареждат коректно или изобщо на устройства с по-стар Android.

    Причината: Изтича DST Root X3 сертификатът, използван от Let’s Encript за криптиране на връзката между уеб браузъра и уеб сървъра (HTTPS (SSL/TLS). Към момента организацията е издала сертификационни вериги на над 50 млн. уебсайта по света.

    Let’s Encript са готови с нов root сертификат, който обаче няма да работи за софтуери, неактуализирани след 2016 г. Това включва и версиите на Android преди 7.1.1, които са 33,8% от всички устройства с Android.

    Възможно решение е да инсталирате най-новата версия на Firefox, за да получите достъп до техните собствени root сертификати, които работят и при остарели операционни системи. Firefox Mobile поддържа Android 5.0 и по-нова версия.

    Прочетете повече по темата тук.

  • Уязвимост в Let’s Encrypt застрашава всички потребители на споделен хостинг

    Последен ъпдейт на 28 юни 2018 в 13:27 ч.

    Уязвимост в неправителствената организация Let’s Encrypt и идеалната ѝ цел да осигури безплатни TLS сертификати на сайтове със споделен хостинг може да изиграе обратна роля – и вместо да помогне, да се превърне в проблем за сигурността на милиони интернет потребители. Причината: уязвимост, която при определени условия може да позволи издаването на сертификати за домейни върху споделен хостинг, от лица които нямат контрол върху тези домейни.

    Какво е Let’s Encrypt и ACME?

    Накратко – Let’s Encrypt започва като инициатива на ISRG (Internet Research Group). За да реализират инициативата, ISRG създават ACME (Automatic Certificate Management Environment) – протокол, който определя автоматизацията на процедурите между издателите на сертификати и уеб сървърите на потребителите им. Той използва три от т.нар. „10 благословени метода“ за потвърждаване на самоличността на притежател на домейн.

    Методите са създадени заедно с група доброволно включили се производители и издатели на сертификати и са описани в документа Baseline Requirements (секция 3.2.2.4).

    За един от използваните – sni-tls-01– е открит начин да се експлоатира, в случай, че се използва от домейн, свързан със споделен хостинг.

    Проблемът с ACME и споделения хостинг

    Преди дни беше открита огромна уязвимост, която засяга всички, които използват Let’s Encrypt на споделен хостинг. Тя е осъществима чрез методите за потвърждение на самоличност на ACME и начинът, по който споделения хостинг работи. Cloud услуги като CloudFront и Heroku бяха също разкрити като уязвими, но чрез бърза реакция вече не позволяват експлоатирането на точно тази уязвимост.

    Дупката в сигурността позволява на атакуващ да издава сертификати за външни домейни чрез споделен хостинг и в последствие да ги използва за предоставяне на вредно съдържание.

    Какво значи това за нас?

    За момента е спряно издаването на сертификати чрез tls-sni-01 и следващата му версия – tls-sni-02, както се споменава в официалното изявление на Let’s Encrypt. Всички cloud-based доставчици на хостинг също трябва да предприемат стъпки за „запушването“ на този пробив във сигурността, след като водещите такива откликнаха.

    По-добри ли са платените сертификати?

    Допускането на толкова сериозен пробив във сигурността може да накара някои хора да си кажат „за толкова пари – толкова“. Нужно е, обаче, да погледнем към сигурността на платените услуги – наистина ли е по-добра. Отдолу можете да видите изброени няколко инцидента, които ще ви дадат достатъчно ясна представа:

    Tехнически подробности за уязвимостта можете да прочетете в подробното обяснение на самия ѝ откривател.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Back to top button