Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Let's Encrypt: грабли

В одной из процедур выпуска сертификатов Let's Encrypt обнаружилась ошибка. Если хостинг позволяет размещение доменов нескольких клиентов на одном IP и позволяет самому клиенту класть сертификаты, то можно было получить сертификат для "соседа" по тому же IP-адресу.

При способе подтверждения TLS-SNI-01 протокола ACME LE выдаёт случайное секретное доменное имя, клиент генерит для него сертификат, LE приходит на указанный IP с использованием SNI и указанием этого имени и проверяет, что сертификат отдаётся с этого IP. После этого выдаётся сертификат на запрошенный клиентом домен.

Функциональность с указанием своих сертификатов есть в стандартной хостинговой панели DirectAdmin, и уже пишут, что у двух крупных хостеров эту операцию можно было провернуть, но вроде бы никто не воспользовался. Протокол TLS-SNI оторвали от греха подальше, а список хостеров собираются составить.

Оригинал новости

Кажется, это первые серьёзные грабли, связанные с LE. При этом на уровне (суб)протокола.

This entry was originally posted at https://beldmit.dreamwidth.org/841860.html. Your comment? (comment count unavailable comments)
Tags: security, ссылки
Subscribe

  • Чешский лес

    Андрей Бондаренко сегодня вывез нас с Ниной в наружу. Первой порцией наружи оказался лес с дикорастущей черешней. Вероятно, местами забродившей,…

  • Менять невозможно по собственной воле среду обитанья

    Уф. Прошёл квест "смени страну в Google Play", потому что без него не ставилось приложение от T-Mobile. А там это, сладкое слово "халява",…

  • Чешский, продолжение

    Пока у меня долго и нудно идёт билд, напишу про то, как я учу чешский полгода спустя после начала. По словарному запасу по-прежнему самым важным…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 6 comments