Сервис Let's Encrypt экстренно отключил (https://letsencrypt.status.io/) поддержку проверки владения доменом с использованием метода TLS-SNI-01 из-за разбора сведений о наличии уязвимости в его реализации. Достоверность информации о проблеме оценивается (https://letsencrypt.status.io/pages/incident/55957a99e800baa...) как высокая, но детальные данные о сути уязвимости пока не сообщаются. Упоминается только то, что уязвимость позволяла получить неправомерный сертификат от Let's Encrypt. Инцидент затрагивает работу серверов
acme-v01.api.letsencrypt.org (первичный), acme-staging.api.letsencrypt.org (резерв) и acme-staging-v02.api.letsencrypt.org (резерв).
По имеющимся данным (https://news.ycombinator.com/item?id=16112894) проблема связана с логикой взаимодействия протокола и сервисов провайдера. Отключение TLS-SNI полностью блокирует проявление уязвимости. Решено об отключении TLS-SNI на постоянной основе пока не принято и работа команды сосредоточена на выработке исправления, которое позволило бы вернуть поддержку TLS-SNI. В настоящее время не найдено признаков эксплуатации проблемы, кроме проверочных атак, выполненных исследователем, выявившим уязвимость.URL: https://news.ycombinator.com/item?id=16112237
Новость: http://www.opennet.dev/opennews/art.shtml?num=47882
Капец, ждем подробностей.
Теперь все самые умные начнут орать, что бесплатнатные CA - зло, забыв указать, что платные - существенно большее зло, хотя бы потому, что платные будут о проблеме молчать до последнего (годами!), чтобы только продолжать з/п и бонусы получать, а LE взялись за решение, не дожидаясь массовой эксплуатации вопроса.
> платные будут о проблеме молчать до последнего (годами!), чтобы только продолжать з/п и бонусы получатьЛюбопытная гипотеза. Впрочем, насчет пруфов можешь не беспокоиться -- я уже слепо поверил тебе на слово и теперь ненавижу "платные СА" всей душой и сердцем.
> и теперь ненавижу "платные СА" всей душой и сердцема что -- есть те кто их любят?
Судя по ценам на сертификаты от Симантека ("пока не всплыли жуткие подробности") - да.
Какой там был порядок цен до и после?
Больше миллиарда зелени за контору целиком до и чуть меньше после.
Та я о ценах сертификатов спрашиваю.
Можешь больше не просить у него пруфы, т.к. прими мои слова за доказательство: если у меня будет платный сервис, то он до последнего будет молчать годами в надежде что все забудется и пронесет. И если ради этого придется кому-то "задонатить" не в убыток себе, то будь уверен - будет сделано все лишь бы получать доход, з/п и бонусы. Пойми что платный сервис должен приносить только доход!
Все.PS: Ты можешь думать что я один в мире такой, с такой "уникальный" позицией и успокоиться на этом посчитав что угроз нет. - Что ж, твое право (или тупость).
Фу таким быть!
Куда деваться если борбьа за выживание обязывает? Можешь меня ненавидеть, но нас миллионы. Миллиарды.
> Можешь больше не просить у него пруфы, т.к. прими мои слова за
> доказательство: если у меня будет платный сервис, то он до последнего
> будет молчать годами в надежде что все забудется и пронесет.Угу. Обворовываемые лохи однако причитать будут... Впрочем конечно кого эти лохи волнуют >:-)
пока лодку раскачиваете только вы, вот уже и предсказали вопли "самых умных" касаемо инцидента, как такое может в голову прийти малообразованному человеку, неясно.
Зло - бесплатные CA с интервалом обновления 3 месяца.
Ну не руками же тебе их обновлять. Скрипт есть.
Как бы тебе объяснить: я не доверяю системам, выдающим сертификаты без подтверждения того, что владелец состоит из мяса, кожи, костей и прочих органических субстанций. Хотя бы капчей.
Я не спец во всяких этих сертификатах-секьюриратах, но всегда считал что сертификаты это не про "мясо, кожу и кости", а про соответствие домена и пришедших данных.
То есть выдал судебное постановление регистратору - и можешь подменять сертификат пайратбея?
> То есть выдал судебное постановление регистратору - и можешь подменять сертификат пайратбея?И тут внезапно всплывают такие вещи, как легитимность так называемых "судов", коррумпированность и вообще их подмена...
> Как бы тебе объяснить: я не доверяю системам, выдающим сертификаты без подтверждения
> того, что владелец состоит из мяса, кожи, костей и прочих органических
> субстанций. Хотя бы капчей.Т.е. подтверждения владения доменом тебе мало? ))
А капчу распознать через сеть живых роботов, если на нейросеть мозгов нет, так трудно, что это прямо подтверждает, что распознавший к домену имеет отношение?
А разве речь идет о владении доменом? Вроде бы достаточно слегка им поуправлять, ну или создать видимость для выдающего сертификат.
> Т.е. подтверждения владения доменом тебе мало? ))владение и возможность нагадить на этом домене - разные вещи.
Ваш любимый (ибо вы нищeброды и экономите три копейки) халявный помоешник проверяет именно последнее. И, ну надо же, никогда не было, и вот, опять - споткнулся о то, что нагадить, оказывается, можно даже не имея к домену никакого отношения вовсе.
А первое - юридическая категория.
> подтверждения того, что владелец состоит из мяса, кожи, костей и прочих органических субстанцийЗащита от регистрации домена ботом — забота регистратора домена и к сертификатам отношения не имеет. Также как наличие/отсутствие "органических субстанций" во владельце никак не связано с его добропорядочностью (во взломщиках, вирусописателях и т.п. этих субстанций не меньше, чем в любом другом человеке).
> органических субстанцийТы расист и ксенофоб!
Ну и да, сотни любителей скриптов с этим отключением TLS-SNI challenge уже влетели :)
Отлично, минус сотни ботов для ботнетов. Глядишь научатся следить за серверами хоть иногда.
И как же именно они влетели? Или ты не в курсе, что сертификат можно обновлять не за пять минут до истечения его срока, а за пару недель или даже больше? Так что никаких проблем у подавляющего большинства любителей скриптов за время разбора инцидента не возникнет.
>>можно обновлятьобновляешь - по истечению срока, до - отзываеш
> Зло - бесплатные CA с интервалом обновления 3 месяца.У нас есть гордый победитель и первонкс номинации "все самые умные начнут орать". Ура, оскар отдыхает.
> Зло - бесплатные CA с интервалом обновления 3 месяца.Зло - ленивые админы. Раз в год они бегают по серверам и меняют серты руками, т.к. скриптом не осилили, а раз в 3 месяца им влом.
>> Зло - бесплатные CA с интервалом обновления 3 месяца.
> Зло - ленивые админы. Раз в год они бегают по серверам и
> меняют серты руками, т.к. скриптом не осилили, а раз в 3мы осилили. И совершенно сознательно не доверяем критическую часть своей безопасности твоим замечательным скриптам (в которых ты "осилил" скачать незнамочто незнамооткуда и неглядя запустить - параметры скопировал со stackoverflow - великий осилятор)
> месяца им влом.
а раз в три месяца (с контролем результата и принятием мер если что-то показалось подозрительным) - физически невозможно, если это не локалхост.
Ну хз что ты там не можешь скриптом обновить. У ЛЕ есть опция - только скачать сертификаты, не устанавливая их в веб-сервер автоматически. Так вот, у нас скрипт так и делает: генерирует новый серт, делает стандартный sanity-check (даты, CN, алгоритмы и т.д.), устанавливает его на тестовый сервер, после чего проверяет, что к нему можно без проблем подключиться клиентом, и только после этого копирует его в продакшн-сервер и шедулит рестарт на следующий день, уведомляя всех заинтересованных письмом. Имхо это значительно надежней, чем руками что-то там куда-то копировать.
Ну положим твоим коллегам повезло. И таких аж 0.0003% :-)
Остальные берут копипасту со стэковерфлоу, и "не приходя в сознание" ставят это в рутовый крон 8-/
> Ну положим твоим коллегам повезло.да не очень. Радости читать такие письма щастья, когда раз в месяц надо обновлять/перезагружать каждый из n...нет, мало, m серверов - ровно никакой, никто их и не читает. Хорошо если вовремя прочитывают "уп-с, а оно тут не обновилось, ну ничего, у тебя еще два месяца на разобраться и поправить". А то, в большой структуре, бывает что и до этого за два месяца руки не доходят (потому что других, срочных алармов - сотни), опа, серт превратился в тыкву.
затобеслатна! и не от проклятых китайцев, а от правильных гуглоиндусов.
а большинство "осиливших скрипты" и того не могут (и зачем вообще самому что-то ставить в крон, оно apt-get install и через час уже забыло... а от какого пользователя - вообще хз, в крон смотреть некогда, надо дальше ляпать)
я конечно подозревал, что понятия "жава", "ынтрепрайз" и "индусы" неслабо кореллируют, но такого отсутствия фантазии и навыков, чтобы настроить роботов делать работу роботов даже не подозревал> читать такие письма щастья
> надо обновлять/перезагружатьособенно
> в большой структуре
> за два месяца руки не доходятага ага. до критических вещей.
ну и какой же индус без обзывания всех подряд индусами
> а от правильных гуглоиндусов
ну и планы на светлое будущее большой структуры на забываем всем поведать
> надо дальше ляпать
Ирония в том что как раз сегодня у хостинг провайдера "Хостинг-Центр" на всех доменах *.hc.ru протух сертификат выданный thawte на год, а на *.hc.ru как раз висят панели управления cpanel, может быть что-то ещё.Они видимо тоже меняют сертификаты руками :)
Бесплатные CA, платные CA... "оба хуже" (ц)Даёшь cert-pinning в каждый браузер! DKIM себе живёт припеваючи без всяких CA.
> Бесплатные CA, платные CA... "оба хуже" (ц)
> Даёшь cert-pinning в каждый браузер! DKIM себе живёт припеваючи без всяких CA.Просто пока нельзя автоматом заработать много денежков за одно поддельное письмецо.
> чтобы только продолжать з/п <оверквотинг удален> получатьВот же ж сволочи!
хорошо что исследуют и закрывают. Это правильно.
Хост в SNI передаётся в открытом виде без шифрования. Я правильно понимаю, что способ атаки в подмене данных SNI в результате MiTM?
Вряд ли. ACME уязвим к MITM by design, это с самого начала было понятно и никого не смущало. К тому же на стороне сервера от MITM не могло остаться никаких следов, а тут утверждают, что следы действий исследователя (чем-то, очевидно, отличающиеся от обычного получения сертификата) осели в логах.
Ну так MITM надо через CT отслеживать, по идее
>не найдено признаков эксплуатации проблемы
Теперь ждем, когда поддержку Let's Encrypt удалят из браузеров. Давно пора.
Бесплатные сертификаты, выдаваемые кому попало по умолчанию не могут быть безопасными.
А платные сертификаты, выдаваемые кому попало по умолчанию сильно ли лучше?
Конечно нет, так-что ждём когда браузеры перестанут поддерживать любые сертификаты кроме самоподписанных.
Ждём когда браузеры перестанут поддерживать любые сертификаты, кроме государственных.
Это троллинг или глупый анон в упор не видит угрозу?
> Это троллинг или глупый анон в упор не видит угрозу?глупый анон забыл придумать способ проверки самоподписанного серта в мире огороженного преступниками интернета
> Теперь ждем, когда поддержку Let's Encrypt удалят из браузеров. Давно пора.
> Бесплатные сертификаты, выдаваемые кому попало по умолчанию не могут быть безопасными.Да, не-е-е... Только лишь следующие три месяца, товарищ прапорщик. Курите!
ну вы ж понимаете, что поддержку startssl удалили не за то что они (якобы, теоретически, и только на такие домены, которым все равно доверять нельзя) кому-то там могли выдать неправильный сертификат.А LE - это кого надо нога.
> Бесплатные сертификаты, выдаваемые кому попало по умолчанию не могут быть безопасными.
могут, но задача LE была не сделать безопасным, а ровно наоборот - сделать подконтрольным кому надо.
Ну да, только Startssl так на все правила клали, что их, конечно, нужно было простить и понять - бунтари, рокнрольщики, конечно!
Как будто есть разница по сравнению с платными.
HTTPS Everywhere бгггг.
> HTTPS Everywhere бгггг.s/he/ho/
Let's Encrypt лучший! Молодцы, использую везде.
Нищщеброт, он такой
Подробнее
https://community.letsencrypt.org/t/2018-01-09-issue-with-tl...
> Our tentative plan, once the list is completed, is to re-enable the TLS-SNI-01 challenge type with vulnerable providers blocked from using it.Они и правда такие наивные? Это ж, небось, большинство шаредов, которых миллионы.
Угу. Типа "плохих мы не пустим".
Шареды на Plesk'е (которых вроде как раз большинство по миру) не подвержены этому - там другой метод проверки используется
Я как то не наблюдал на шаредах возможности загрузить свой сертификат.