news_02_23012019

Let’s Encrypt прекратит поддержку TLS-SNI-01

В 2018 году после того, как злоумышленники запросили сертификаты Let’s Encrypt для не принадлежащих им доменов было принять решение удостоверяющим центром (далее — УЦ) Let’s Encrypt о прекращении поддержки и сопровождения протокола TLS-SNI-01.

В январе 2018 года УЦ проведя аналитику обнаружил, что TLS-SNI-01 и его планируемый преемник TLS-SNI-02 могут использоваться злоумышленниками. К примеру, у условной компании есть сайт investors.techcorp.com, указывающий для обслуживания контента на облачный хост, а не на investors.techcorp.com. Злоумышленник теоретически может создать учетную запись у этого облачного провайдера и добавить в ней HTTPS-сервер для investors.techcorp.com. Таким образом, он сможет успешно выдавать себя за компанию, которой принадлежит сайт. Более того, наличие у злоумышленника сертификата Let’s Encrypt и протокола TLS-SNI-01 позволит ему маскировать свои действия под правомерные.

Расширение SNI для протокола TLS предназначено для проверки подлинности представляемого сервером имени, что имеет большое значение в случае, если IP-адрес обслуживает множество сайтов. Когда стало известно об уязвимости, Let’s Encrypt заблокировал TLS-SNI-01 для новых учетных записей, но продолжил поддержку уже выпущенных сертификатов. Тем не менее, согласно сообщению УЦ, 13 февраля 2019 года поддержка протокола прекратится. Тем, кто использует TLS-SNI в качестве механизма проверки подлинности, рекомендуется перейти на DNS-01 и HTTP-01.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *