The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

10.01.2018 09:30  Инцидент с уязвимостью в сервисе Let's Encrypt

Сервис Let's Encrypt экстренно отключил поддержку проверки владения доменом с использованием метода TLS-SNI-01 из-за разбора сведений о наличии уязвимости в его реализации. Достоверность информации о проблеме оценивается как высокая, но детальные данные о сути уязвимости пока не сообщаются. Упоминается только то, что уязвимость позволяла получить неправомерный сертификат от Let's Encrypt. В настоящее время не найдено признаков эксплуатации проблемы, кроме проверочных атак, выполненных исследователем, выявившим уязвимость.

По имеющимся данным проблема связана с логикой взаимодействия протокола и сервисов провайдера. Отключение TLS-SNI-01 полностью блокирует проявление уязвимости. Решение об отключении TLS-SNI на постоянной основе пока не принято и работа команды сосредоточена на выработке исправления, которое позволило бы вернуть поддержку TLS-SNI. TLS-SNI позволяет выполнить проверку через обращение к хосту по HTTPS (443 порт). Альтернативными методами проверки являются http-01 (проверка по HTTP через 80 порт) и dns-01 (проверка при помощи DNS).

Дополнение: Опубликован отчёт с описанием метода атаки и плана по возвращению поддержки TLS-SNI-01.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Проект Let's Encrypt опубликовал планы на 2018 год
  3. OpenNews: Взломан официальный форум проекта Ubuntu
  4. OpenNews: Взлом инфраструктуры Linux Mint привёл к распространению ISO-образов с бэкдором
  5. OpenNews: Арестован подозреваемый во взломе kernel.org
  6. OpenNews: Второй взлом инфраструктуры BitTorrent-клиента Transmission
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: letsencrypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Витя Пиканов (?), 09:45, 10/01/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –9 +/
    Капец, ждем подробностей.
     
  • 1.2, Аноним (-), 10:03, 10/01/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +37 +/
    Теперь все самые умные начнут орать, что бесплатнатные CA - зло, забыв указать, что платные - существенно большее зло, хотя бы потому, что платные будут о проблеме молчать до последнего (годами!), чтобы только продолжать з/п и бонусы получать, а LE взялись за решение, не дожидаясь массовой эксплуатации вопроса.
     
     
  • 2.4, Аноним (-), 10:08, 10/01/2018 [^] [ответить]     [к модератору]
  • –3 +/
    Любопытная гипотеза Впрочем, насчет пруфов можешь не беспокоиться -- я уже слеп... весь текст скрыт [показать]
     
     
  • 3.6, X4asd (ok), 10:18, 10/01/2018 [^] [ответить]    [к модератору]  
  • +14 +/
    > и теперь ненавижу "платные СА" всей душой и сердцем

    а что -- есть те кто их любят?

     
     
  • 4.28, А (??), 12:26, 10/01/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    Судя по ценам на сертификаты от Симантека ("пока не всплыли жуткие подробности") - да.
     
     
  • 5.46, dep (?), 15:55, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Какой там был порядок цен до и после?
     
     
  • 6.61, Аноним (-), 21:10, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Больше миллиарда зелени за контору целиком до и чуть меньше после.
     
     
  • 7.62, depeche (??), 21:11, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Та я о ценах сертификатов спрашиваю.
     
  • 3.48, Аноним (-), 16:44, 10/01/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Можешь больше не просить у него пруфы, т к прими мои слова за доказательство е... весь текст скрыт [показать]
     
     
  • 4.55, Аноним (-), 18:27, 10/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Фу таким быть!
     
     
  • 5.63, Аноним (-), 21:32, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Куда деваться если борбьа за выживание обязывает? Можешь меня ненавидеть, но нас миллионы. Миллиарды.
     
  • 4.70, Алког (?), 06:05, 13/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Угу Обворовываемые лохи однако причитать будут Впрочем конечно кого эти лохи... весь текст скрыт [показать]
     
  • 2.5, Антонима (?), 10:16, 10/01/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    пока лодку раскачиваете только вы, вот уже и предсказали вопли "самых умных" касаемо инцидента, как такое может в голову прийти малообразованному человеку, неясно.
     
  • 2.8, anomymous (?), 10:42, 10/01/2018 [^] [ответить]    [к модератору]  
  • –12 +/
    Зло - бесплатные CA с интервалом обновления 3 месяца.
     
     
  • 3.9, A.Stahl (ok), 10:51, 10/01/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    Ну не руками же тебе их обновлять. Скрипт есть.
     
     
  • 4.18, anomymous (?), 11:57, 10/01/2018 [^] [ответить]    [к модератору]  
  • –18 +/
    Как бы тебе объяснить: я не доверяю системам, выдающим сертификаты без подтверждения того, что владелец состоит из мяса, кожи, костей и прочих органических субстанций. Хотя бы капчей.
     
     
  • 5.22, A.Stahl (ok), 12:21, 10/01/2018 [^] [ответить]    [к модератору]  
  • +15 +/
    Я не спец во всяких этих сертификатах-секьюриратах, но всегда считал что сертификаты это не про "мясо, кожу и кости", а про соответствие домена и пришедших данных.
     
     
  • 6.64, jfjfjfj (?), 21:52, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    То есть выдал судебное постановление регистратору - и можешь подменять сертификат пайратбея?
     
     
  • 7.71, Алког (?), 06:28, 13/01/2018 [^] [ответить]     [к модератору]  
  • +/
    И тут внезапно всплывают такие вещи, как легитимность так называемых судов , ко... весь текст скрыт [показать]
     
  • 5.29, А (??), 12:28, 10/01/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Т е подтверждения владения доменом тебе мало А капчу распознать через сеть ... весь текст скрыт [показать]
     
     
  • 6.35, КО (?), 13:31, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    А разве речь идет о владении доменом? Вроде бы достаточно слегка им поуправлять, ну или создать видимость для выдающего сертификат.
     
  • 6.38, . (?), 13:59, 10/01/2018 [^] [ответить]     [к модератору]  
  • –5 +/
    владение и возможность нагадить на этом домене - разные вещи Ваш любимый ибо ... весь текст скрыт [показать]
     
  • 5.56, Аноним (-), 18:35, 10/01/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Защита от регистрации домена ботом 8212 забота регистратора домена и к сертиф... весь текст скрыт [показать]
     
  • 5.60, Аноним (-), 19:53, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > органических субстанций

    Ты расист и ксенофоб!

     
  • 4.20, anomymous (?), 12:05, 10/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Ну и да, сотни любителей скриптов с этим отключением TLS-SNI challenge уже влетели :)
     
     
  • 5.57, Аноним (-), 19:23, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Отлично, минус сотни ботов для ботнетов. Глядишь научатся следить за серверами хоть иногда.
     
  • 5.58, angra (ok), 19:45, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    И как же именно они влетели Или ты не в курсе, что сертификат можно обновлять н... весь текст скрыт [показать]
     
     
  • 6.66, Sw00p aka Jerom (?), 02:11, 11/01/2018 [^] [ответить]    [к модератору]  
  • +/
    >>можно обновлять

    обновляешь - по истечению срока, до - отзываеш

     
  • 3.12, Andrey Mitrofanov (?), 11:10, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > Зло - бесплатные CA с интервалом обновления 3 месяца.

    У нас есть гордый победитель и первонкс номинации "все самые умные начнут орать". Ура, оскар отдыхает.

     
  • 3.31, А (??), 12:29, 10/01/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > Зло - бесплатные CA с интервалом обновления 3 месяца.

    Зло - ленивые админы. Раз в год они бегают по серверам и меняют серты руками, т.к. скриптом не осилили, а раз в 3 месяца им влом.

     
     
  • 4.39, . (?), 14:02, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    мы осилили И совершенно сознательно не доверяем критическую часть своей безопас... весь текст скрыт [показать]
     
     
  • 5.43, gaga (ok), 14:51, 10/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну хз что ты там не можешь скриптом обновить У ЛЕ есть опция - только скачать с... весь текст скрыт [показать]
     
     
  • 6.51, _ (??), 17:29, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну положим твоим коллегам повезло. И таких аж 0.0003% :-)
    Остальные берут копипасту со стэковерфлоу, и "не приходя в сознание" ставят это в рутовый крон 8-/
     
     
  • 7.52, пох (?), 17:52, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    да не очень Радости читать такие письма щастья, когда раз в месяц надо обновлят... весь текст скрыт [показать]
     
     
  • 8.54, непох (?), 18:16, 10/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    я конечно подозревал, что понятия жава , ынтрепрайз и индусы неслабо корелл... весь текст скрыт [показать]
     
  • 5.67, Гентушник (ok), 08:27, 11/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Ирония в том что как раз сегодня у хостинг провайдера Хостинг-Центр на всех до... весь текст скрыт [показать]
     
  • 2.33, Аноним (-), 12:50, 10/01/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Бесплатные CA, платные CA... "оба хуже" (ц)

    Даёшь cert-pinning в каждый браузер! DKIM себе живёт припеваючи без всяких CA.

     
     
  • 3.65, XoRe (ok), 22:29, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Просто пока нельзя автоматом заработать много денежков за одно поддельное письме... весь текст скрыт [показать]
     
  • 2.59, Аноним (-), 19:50, 10/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > чтобы только продолжать з/п <оверквотинг удален> получать

    Вот же ж сволочи!

     
  • 1.3, Аноним (-), 10:06, 10/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    хорошо что исследуют и закрывают. Это правильно.
     
  • 1.7, Аноним (-), 10:20, 10/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Хост в SNI передаётся в открытом виде без шифрования. Я правильно понимаю, что  способ атаки в подмене данных SNI в результате MiTM?
     
     
  • 2.36, Аноним (-), 13:34, 10/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Вряд ли ACME уязвим к MITM by design, это с самого начала было понятно и никого... весь текст скрыт [показать]
     
     
  • 3.47, Crazy Alex (ok), 16:08, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну так MITM надо через CT отслеживать, по идее
     
  • 1.11, Аноним (-), 11:05, 10/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >не найдено признаков эксплуатации проблемы
     
  • 1.14, Аноним (-), 11:19, 10/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –18 +/
    Теперь ждем, когда поддержку Let's Encrypt удалят из браузеров. Давно пора.
    Бесплатные сертификаты, выдаваемые кому попало по умолчанию не могут быть безопасными.
     
     
  • 2.15, Аноним (-), 11:32, 10/01/2018 [^] [ответить]    [к модератору]  
  • +13 +/
    А платные сертификаты, выдаваемые кому попало по умолчанию сильно ли лучше?
     
     
  • 3.19, Аноним (-), 12:04, 10/01/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    Конечно нет, так-что ждём когда браузеры перестанут поддерживать любые сертификаты кроме самоподписанных.
     
     
  • 4.41, Аноним (-), 14:11, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Ждём когда браузеры перестанут поддерживать любые сертификаты, кроме государственных.

     
     
  • 5.49, Аноним (-), 16:47, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Это троллинг или глупый анон в упор не видит угрозу?
     
     
  • 6.50, Аноним (-), 17:26, 10/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Это троллинг или глупый анон в упор не видит угрозу?

    глупый анон забыл придумать способ проверки самоподписанного серта в мире огороженного преступниками интернета

     
  • 2.16, Andrey Mitrofanov (?), 11:38, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > Теперь ждем, когда поддержку Let's Encrypt удалят из браузеров. Давно пора.
    > Бесплатные сертификаты, выдаваемые кому попало по умолчанию не могут быть безопасными.

    Да, не-е-е... Только лишь следующие три месяца, товарищ прапорщик. Курите!

     
  • 2.21, . (?), 12:19, 10/01/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    ну вы ж понимаете, что поддержку startssl удалили не за то что они (якобы, теоретически, и только на такие домены, которым все равно доверять нельзя) кому-то там могли выдать неправильный сертификат.

    А LE - это кого надо нога.

    > Бесплатные сертификаты, выдаваемые кому попало по умолчанию не могут быть безопасными.

    могут, но задача LE была не сделать безопасным, а ровно наоборот - сделать подконтрольным кому надо.

     
     
  • 3.32, А (??), 12:30, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну да, только Startssl так на все правила клали, что их, конечно, нужно было простить и понять - бунтари, рокнрольщики, конечно!
     
  • 2.45, key (??), 15:32, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Как будто есть разница по сравнению с платными.
     
  • 1.17, Дуплик (ok), 11:55, 10/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    HTTPS Everywhere бгггг.
     
     
  • 2.23, Michael Shigorin (ok), 12:22, 10/01/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    > HTTPS Everywhere бгггг.

    s/he/ho/

     
  • 1.27, Аноним (-), 12:26, 10/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Let's Encrypt лучший! Молодцы, использую везде.
     
     
  • 2.69, Шкурка_от_головки (ok), 14:14, 11/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Нищщеброт, он такой
     
  • 1.34, xm (ok), 12:59, 10/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Подробнее
    https://community.letsencrypt.org/t/2018-01-09-issue-with-tls-sni-01-and-share
     
     
  • 2.37, Аноним (-), 13:42, 10/01/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Они и правда такие наивные Это ж, небось, большинство шаредов, которых миллионы... весь текст скрыт [показать]
     
     
  • 3.42, xm (ok), 14:38, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Угу. Типа "плохих мы не пустим".
     
  • 3.44, Аноним (-), 15:29, 10/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Шареды на Plesk'е (которых вроде как раз большинство по миру) не подвержены этому - там другой метод проверки используется
     
  • 3.53, angra (ok), 18:12, 10/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Я как то не наблюдал на шаредах возможности загрузить свой сертификат.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor