У середу, 4 березня, автоматизований центр безкоштовних цифрових сертифікатів Let’s Encrypt скасує випуск понад трьох мільйонів помилкових сертифікатів HTTPS.
Джейкоб Хофман-Ендрюс, старший технолог з персоналу компанії EFF, знайшов помилку в коді середовища для автоматичного управління сертифікатами Boulder вiд Let’s Encrypt.
Boulder перевіряє записи Органу Авторизації Сертифікатiв (Certificate Authority Authorization, CAA), щоб переконатися, що клiєнт Let’s Encrypt звернувся за сертифікатом HTTPS для доменних імен. Помилка виду “Перевірте помилки циклу коду” (Check code loop blunder strikes) в середовищі Boulder, знайдена у липнi 2019 року, належала до коду Go, який виконував ітерацію доменних імен.
Отже, коли Boulder проводив ітерацію групи з, наприклад, 10 доменних імен, які потребували повторної перевірки CAA, Boulder перевіряв 1 доменне ім’я 10 разів замість того, щоб перевіряти кожен з 10 доменів 1 раз.
“Це означає на практиці, що якщо клієнт валідував доменне ім’я в час X, а записи CAA для цього домену в момент часу X дозволили Let’s Encrypt видачу, цей клієнт зможе мати сертифікат, що містить це ім’я домену, протягом X+30 днів, навіть якщо хтось пізніше встановив записи CAA на це доменне ім’я, які забороняють Let’s Encrypt видачу”, – каже Хоффман-Ендрюс.
Виправлення коду було розпочато приблизно за дві години після виявлення помилки, однак все ще залишається бiльше 3 мiльйонiв цифрових сертифікатів із приблизно 116 мільйонів, які потрібно відкликати. Для близько мільйону недосконалих сертифікатiв зроблено дублікати.
Постраждалі власники сертифікатів, якi отримали сповіщення електронною поштою, мають до 00:00 UTC 4 березня відновити та замінити свої сертифікати. Процес для тих, хто використовує інструмент командного рядка Certbot, теоритично доволi простий:
certbot renew --force-renewal
Але на форумі Let’s Encrypt повідомлять про труднощі виправлення.
Поки проблема не буде усунена, 4 березня Let’s Encrypt, яку підтримує дослідницька група Internet Security Research Group (ISRG), відкличе ті сертифiкати, які не були полагоджені й, таким чином, видають клієнтам на постраждалих веб-сайтах попередження безпеки.
Для тих, хто, можливо, пропустив або видалив сповіщення електронною поштою, Let’s Encrypt опублікував список серійних номерів. Зацікавлені особи можуть шукати ідентифікатори своїх облікових записів для відповідних номерів сертифікатів. Також є веб-сторінка для перевірки того, чи покладається сайт на постраждалий серт.
Джерело: theregister.co.uk
