Последен ъпдейт на 28 юни 2018 в 13:27 ч.
Уязвимост в неправителствената организация Let’s Encrypt и идеалната ѝ цел да осигури безплатни TLS сертификати на сайтове със споделен хостинг може да изиграе обратна роля – и вместо да помогне, да се превърне в проблем за сигурността на милиони интернет потребители. Причината: уязвимост, която при определени условия може да позволи издаването на сертификати за домейни върху споделен хостинг, от лица които нямат контрол върху тези домейни.
Какво е Let’s Encrypt и ACME?
Накратко – Let’s Encrypt започва като инициатива на ISRG (Internet Research Group). За да реализират инициативата, ISRG създават ACME (Automatic Certificate Management Environment) – протокол, който определя автоматизацията на процедурите между издателите на сертификати и уеб сървърите на потребителите им. Той използва три от т.нар. „10 благословени метода“ за потвърждаване на самоличността на притежател на домейн.
Методите са създадени заедно с група доброволно включили се производители и издатели на сертификати и са описани в документа „Baseline Requirements“ (секция 3.2.2.4).
За един от използваните – sni-tls-01– е открит начин да се експлоатира, в случай, че се използва от домейн, свързан със споделен хостинг.
Проблемът с ACME и споделения хостинг
Преди дни беше открита огромна уязвимост, която засяга всички, които използват Let’s Encrypt на споделен хостинг. Тя е осъществима чрез методите за потвърждение на самоличност на ACME и начинът, по който споделения хостинг работи. Cloud услуги като CloudFront и Heroku бяха също разкрити като уязвими, но чрез бърза реакция вече не позволяват експлоатирането на точно тази уязвимост.
Дупката в сигурността позволява на атакуващ да издава сертификати за външни домейни чрез споделен хостинг и в последствие да ги използва за предоставяне на вредно съдържание.
Какво значи това за нас?
За момента е спряно издаването на сертификати чрез tls-sni-01 и следващата му версия – tls-sni-02, както се споменава в официалното изявление на Let’s Encrypt. Всички cloud-based доставчици на хостинг също трябва да предприемат стъпки за „запушването“ на този пробив във сигурността, след като водещите такива откликнаха.
По-добри ли са платените сертификати?
Допускането на толкова сериозен пробив във сигурността може да накара някои хора да си кажат „за толкова пари – толкова“. Нужно е, обаче, да погледнем към сигурността на платените услуги – наистина ли е по-добра. Отдолу можете да видите изброени няколко инцидента, които ще ви дадат достатъчно ясна представа:
Tехнически подробности за уязвимостта можете да прочетете в подробното обяснение на самия ѝ откривател.
Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.