No Thumbnail

Let’s Encrypt har tilbagekaldt tre millioner certifikater

, indsendt af arne_v

En fejl i certifikat-generatoren, har gjort det nødvendigt at tilbagekalde tre millioner certifikater fra Let’s Encrypt.

Problemet med Let’s Encrypt opstod når en anmodning om certifikat indeholdte mere end ét domænenavn.

I stedet for at tjekke alle domæne med CAA (Certificate Authority Authorization) ville Let’s Encrypts servere i stedet tjekke ét domænenavn lige så mange gange, som der er domænenavne i listen.

Dette betød i praksis, at det var muligt at få certifikater igennem Let’s Encrypt’s systemer, uden at domænet var godkendt med CAA. 

Fejlen er nu rettet og certifikaterne er trukket tilbage – og berørte 2.6% af alle hjemmesider, der brugte Let’s Encrypt.

Der er oprettet et online-tool til at tjekke om et certifikat på en given hjemmeside, er berørt af fejlen, https://checkhost.unboundtest.com – ligesom en komplet liste kan findes her (Bemærk: 300mb download)





Gå til bund
Gravatar

#1 fastwrite_1 10. mar. 2020 12:19

Jeg fik klikket på linket til den komplette liste, som jeg troede var en side, men det var en fil på over 300mb som gik lystigt i gang med at downloade til min stakkels overfyldte telefon.


Gravatar

#2 larsp 10. mar. 2020 13:08

#1 https://checkhost.unboundtest.com/ virker fint.

Ingen af mine domæner er ramt.. selvom ArsTechnica artiklen https://arstechnica.com/information-technology/202... formulerede det som "most if not all" ville være ramt.
Stop using Google all the time: https://justsearchportal.com - Without distractions - Respecting privacy
Gravatar

#3 Athinira 10. mar. 2020 13:38

larsp (2) skrev:
#1 https://checkhost.unboundtest.com/ virker fint.

Ingen af mine domæner er ramt.. selvom ArsTechnica artiklen https://arstechnica.com/information-technology/202... formulerede det som "most if not all" ville være ramt.

Det skal nok forstås som at alle domæner kunne være ramt. Folk kunne sagtens udgive sig for at være dit domæne, og der var ikke noget du ville kunne gøre ved det.
Finder du mig, så indlever mig venligst i receptionen.
Gravatar

#4 arne_v 10. mar. 2020 13:48

#2

De har misforstået noget.

Følger man links kommer man til https://community.letsencrypt.org/t/revoking-certa... som siger at 3 millioner certifikater er påvirket.

(og per forsiden er der 190 certifakter i brug)

The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#5 arne_v 10. mar. 2020 13:50

#3

????

Der er nogle certifikater som ikke er blevet checket korrekt og nogle som er blevet checket korrekt.

Og man kan slå op i hvilken kategori et domæne er.




The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#6 larsp 10. mar. 2020 14:57

Det minder mig om noget jeg altid har undret mig over ved Lets-Encrypt modellen. Hvad forhindrer en DNS hi-jacker i at flytte DNS for et domæne over på en anden IP, og så lave et nyt lets-encrypt certifikat dér i en fart?

Så vidt jeg kan forstå vil browseren ikke vise det som noget problem. Jeg har selv prøvet at migrere en server og kunne lave et nyt certifikat fra den nye server uden at det gav problemer. Det betyder så bare at LetsEncrypt + https ikke giver nogen garantier om identiteten af modparten. Oder was?
Stop using Google all the time: https://justsearchportal.com - Without distractions - Respecting privacy
Gravatar

#7 arne_v 10. mar. 2020 15:16

The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#8 arne_v 10. mar. 2020 15:22

#6

https://letsencrypt.org/about/

siger selv:


We give people the digital certificates they need in order to enable HTTPS (SSL/TLS) for websites, for free, in the most user-friendly way we can. We do this because we want to create a more secure and privacy-respecting Web.


Så deres formål er at få krypteret trafikken ikke at sikre at sitet er hvam de siger.

Med hensyn til spoofing, så:

Intet er sikkert i denne verden.

Let's Enrcypt er vel ca. lige så sikkert som DV certifikater men betydeligt mindre sikre end EV certifikater.

The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#9 larsp 10. mar. 2020 16:50

#7 #8 - ja, tænkte det nok.

Så hvis jeg overtager danskebank's DNS record (somehow) og laver et LetsEncrypt certifikat på min spoof hjemmeside, så viser browseren det som værende i skønneste orden?
Stop using Google all the time: https://justsearchportal.com - Without distractions - Respecting privacy
Gravatar

#10 arne_v 10. mar. 2020 16:58

#9

Som default ja.

Hvis du bruger FF vil jeg anbefale dig at sætte security.identityblock.show_extended_validation til true.

Fordi så kan du nemlig se forskel på EV certifikat sites og "resten".

The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#11 larsp 10. mar. 2020 17:09

#10 Tankevækkende, og godt tip.

Men det handler ikke om min browser, men om den generelle risikoprofil for brugere.

Det undrer mig at det ikke som udgangspunkt er lavet ligesom ssh hvor host authentification bliver cachet. Hvis den ændrer sig kommer der en grim advarsel om possible man in the middle attack.

Men det ville måske føre til en masse bøvl i den virkelige verden.
Stop using Google all the time: https://justsearchportal.com - Without distractions - Respecting privacy
Gravatar

#12 arne_v 10. mar. 2020 17:22

#11

Ja. Jeg forstår ikke hvorfor den ikke er true som standard.

SSH er lidt anderledes. Normalt er det et begrænset antal hosts man connecter til. Man bruger HTTPS til et meget stort antal sites. Og SSL certifikater udløber og udskiftes hele tiden. Hvis folk fik 2-3 advarsler om ugen fordi certifikater var udløbet og erstattet, så ville de nok blive uopmærksomme.
The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#13 Chucara 10. mar. 2020 23:09

#8: LetsEncrypt er bogstaveligt talt et DV cert. De validerer domæneejerskabet, og intet andet. De gør det bare gratis og med kort udløb ift. resten.

Jeg kan ikke se hvordan man kan lave OV eller EV certifikater gratis.
Newz.dk: Hvor alle er eksperter indenfor alt.
Gravatar

#14 arne_v 11. mar. 2020 00:25

Chucara (13) skrev:

LetsEncrypt er bogstaveligt talt et DV cert. De validerer domæneejerskabet, og intet andet. De gør det bare gratis og med kort udløb ift. resten.


Ja. Jeg mener bare ikke at de kalder det for et DV certifikat.

Chucara (13) skrev:

Jeg kan ikke se hvordan man kan lave OV eller EV certifikater gratis.


Enig.

Men netop fordi der er så stor forskel kunne man godt mene at browsere burde vise forskellen!
The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.
Gravatar

#15 fastwrite_1 11. mar. 2020 01:36

#2

Det var ikke linket. Men dette: "ligesom en komplet liste kan findes her". Klik på "her" og du downloader en moppedreng på over 300mb - uden at du får at det står i teksten.

For øvrigt er vi nok mange der kan takke LetsEncrypt for at der nu findes så mange krypterede sider.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login