Ошибка Let’s Encrypt делает миллион сертификатов несовместимыми

Let’s Encrypt – это популярный, бесплатный центр сертификации с открытым исходным кодом, управляемый Internet Research Security Group (ISRG), который выпустил более миллиарда сертификатов для веб-сайтов по всему миру. Хотя никто не отрицает огромный вклад компании в распространение HTTPS в WEB, к сожалению, сертификаты Let’s Encrypt не застрахованы от ошибок и вредоносного использования. Последняя неудача произошла, когда более трех миллионов сертификатов пострадали от ошибки, и их пришлось отозвать.

Виновником является код, который проверяет наличие CCA (Certificate Authority Authorization) каждый раз, когда пользователь продлевает свои SSL-сертификаты, чтобы убедиться, что владелец домена не ввел никаких ограничений на то, кто может продлевать сертификаты. В результате владельцы нескольких доменов оказались подвержены потенциальным кибератакам из-за того, что автоматические проверки Lets Encrypt сканировали только один домен и пропускали остальные.

Первоначально компания Let’s Encrypt объявила, что что она отзовет около трех миллионов сертификатов чтобы соответствовать отраслевым правилам; однако, быстро развернувшись, компания решила оставить более 1 миллиона SSL-сертификатов активными. Вот что сказал по этому поводу исполнительный директор IRSG:

“К сожалению, мы считаем вероятным, что более 1 миллиона сертификатов не будут заменены до истечения срока, установленного для отзыва. Чтобы не ломать столько сайтов и не вызывать беспокойство у их посетителей, мы решили, что в интересах здоровья Интернета не отзывать эти сертификаты до истечения срока”.

Далее он заверил, что срок действия потенциально не отозванных сертификатов скоро истечет
.

“Let’s Encrypt предлагает только сертификаты с 90-дневным сроком действия, поэтому потенциально пострадавшие сертификаты, которые мы можем не отозвать, покинут экосистему относительно быстро. Мы планируем отзывать больше сертификатов по мере того, как будем уверены, что это не приведет к ненужным сбоям в работе веб-пользователей”.

Ошибка Let’s Encrypt, хотя и не является катастрофой, подчеркивает недолговечность бесплатных сертификатов проверки доменов и важность эффективного и надежного управления SSL-сертификатами. Когда речь идет о сотнях или тысячах сертификатов, обновлять их вручную просто невозможно. Центры сертификации должны обеспечить надежный процесс авторизации и проверки, а компании должны инвестировать в инструменты, автоматизирующие выдачу и управление SSL-сертификатами.

Сэкономьте 10% на SSL-сертификатах при заказе сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Написано

Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.