Computerbeveiliging - Hoe je bad guys buiten de deur houdt

LetsEncrypt OSCP fail

19-05-2017, 11:42 door Anoniem, 9 reacties
Mijn firefox staat op verplicht OCSP checken. Ik ging naar een site met een LetsEncrypt certificaat (https://borncity.com/) met daarin een verwijzing naar http://ocsp.int-x3.letsencrypt.org/

Firefox voert dan eerst een DNS request uit met het volgende antwoord als resultaat:
Name: a771.dscq.akamai.net
Addresses: 2a02:26f0:e6::210:4b8
2a02:26f0:e6::210:4b1
2.16.4.154
2.16.4.129
Aliases: ocsp.int-x3.letsencrypt.org
ocsp.int-x3.letsencrypt.org.edgesuite.net

Vervolgens doet Firefox een OCSP request naar 2.16.4.154. Het antwoord liet elke keer 20 seconden op zich wachten en luidde:
HTTP/1.1 504 Gateway Time-out
In Wireshark zag ik daarbij als tekst teruggeven worden:
<HTML><HEAD><TITLE>Error</TITLE></HEAD><BODY>\n
An error occurred while processing your request.<p>\n
Reference&#32;&#35;97&#46;5dd91002&#46;1495185410&#46;5f1ee5\n
</BODY></HTML>\n
Als je die tekst in een html file opslaat en bekijkt zie je:
\n An error occurred while processing your request.

\n Reference #97.5dd91002.1495185410.5f1ee5\n \n

Door een bug in Firefox heeft klikken op "Try again" (onder "Secure Connection Failed") geen zin, er vindt dan geen nieuwe OCSP request plaats. Firefox (alle vensters) sluiten, opnieuw starten nogmaals geprobeerd: zelfde resultaat. En dat al zeker een half uur achter elkaar?

Beide IPv4 adressen (2.16.4.154 en 2.16.4.129) geven hetzelfde resultaat.
Nb. gewoon http://a771.dscq.akamai.net/ openen geeft geen foutmelding, maar dan doe je geen OCSP request die vermoedelijk naar een achterliggend systeem (waarschijnlijk van LetsEncrypt zelf) wordt doorgezet.

Zou de hele OCSP check van Let's Encrypt down zijn? Lekker betrouwbaar zo...
Reacties (9)
19-05-2017, 14:33 door Anoniem
(op certificate.revocationcheck.com lukt het ook niet?)

Het komt vaker voor dat OCSP servers het verkeer niet aan kunnen.
Meestal lukt het na een tijdje wel weer op een minder druk moment voor de OCSP-server.

Mocht de OCSP-check gisteren nog goed zijn gegaan, dan is de kans dat het certificaat vandaag is ingetrokken erg klein.
Dus als het heel urgent is zou ik het dan wagen, maar als je kan wachten is dat net ietsje veiliger.
20-05-2017, 00:00 door Anoniem
Confirm

https://tweakers.net/nieuws/124899/lets-encrypt-heeft-problemen-met-uitgifte-en-vernieuwen-certificaten.html
20-05-2017, 13:27 door Anoniem
40 miljoen certificaten, en dan uit het oog verliezen dat dit wel eens problemen kan gaan geven op de OCSP server?

"een beetje dom"
21-05-2017, 08:48 door Anoniem
Door Anoniem: 40 miljoen certificaten, en dan uit het oog verliezen dat dit wel eens problemen kan gaan geven op de OCSP server?

"een beetje dom"
https://letsencrypt.status.io/pages/55957a99e800baa4470002da
Daar valt te lezen dat ze eerst als hun eigen CA-software (Boulder) hebben teruggedraaid naar een eerdere versie, om vervolgens te constateren dat dat het probleem niet voor alle users oploste. Dat bleek bij het door hun gebruikte CDN mis te gaan.

OCSP loopt dus bij hun via een CDN. Dat klinkt niet alsof ze uit het oog hadden verloren dat grote aantallen certificaten tot een zware belasting van een server hadden geleid, een CDN inzetten is een maatregel die je neemt als je dat wel inziet.

Een beetje dom? Dat lijkt mee te vallen. Ik denk eerder dat LetsEncrypt nog zo nieuw is je af en toe een kinderziekte onvermijdelijk is.

Als je op GitHub naar Boulder (hun eigen CA-software) kijkt dan kan je zien dat er nog druk aan ontwikkeld wordt, er zijn dagelijks meerdere commits. Dat wil niet zeggen dat dat ook allemaal meerdere keren per dag live gaat, maar de software is kennelijk nog niet in een fase beland dat er niet meer veel aan hoeft te gebeuren. Wijzigingen brengen risico's op fouten mee. Als je live-omgeving het hele internet is dan is het onmogelijk om een testomgeving op te tuigen die even groot is, je hebt geen tweede internet tot je beschikking waar een tweede wereldbevolking even druk gebruik van maakt als van van het live-internet, dat is er domweg niet. Dat betekent dat zelfs als ze niet dom zijn maar uitstekend testen er een risico overblijft dat ze problemen pas in de live-omgeving tegenkomen. En dat zal dan ook af en toe gebeuren.

https://github.com/letsencrypt/boulder/commits/master
21-05-2017, 14:30 door Anoniem
Door Anoniem:
Een beetje dom? Dat lijkt mee te vallen. Ik denk eerder dat LetsEncrypt nog zo nieuw is je af en toe een kinderziekte onvermijdelijk is.
LetsEncrypt is live gegaan voor het zelfs af was. Dat zou je best een beetje dom kunnen noemen.
Toen het net live was zat er nog niet eens een script bij om het certificaat automatisch te verlengen, dat moest je
zelf dokteren. Dat schijnt nu wel voor elkaar te zijn. Ik heb er niet meer naar gekeken toen ik ontdekte dat als je
dat script opstart hij allerlei pakketten op je systeem gaat installeren en extra code downloaden en uitvoeren zonder
dat van te voren te melden. Daar houd ik niet zo van.
22-05-2017, 07:44 door Anoniem
Probleem verklaard (in het Duits): https://www.heise.de/security/meldung/Doppel-Slash-sorgte-fuer-Ausfall-von-Let-s-Encrypt-3719227.html

Dat is de straf voor niet eerst goed testen voordat je wijzigingen doorvoert.
22-05-2017, 11:44 door Anoniem
Door Anoniem: LetsEncrypt is live gegaan voor het zelfs af was. Dat zou je best een beetje dom kunnen noemen.
Je kan het ook, zoals Let's Encrypt zelf deed, een public beta noemen. Dat is een test. Hint: als je aan een test deelneemt doe je er verstandig aan om fouten te verwachten. Zo'n test dient ervoor om die boven water te krijgen, die doen ze niet voor de vorm.
Toen het net live was zat er nog niet eens een script bij om het certificaat automatisch te verlengen, dat moest je
zelf dokteren. [...] Daar houd ik niet zo van.
Ze maakten er totaal geen geheim van hoe ze te werk gingen. Als dat je niet bevalt kan je er simpelweg voor kiezen het (nog) niet te gebruiken. Als het je niet bevalt en je gebruikt het toch dan kan zou je dat best een beetje dom kunnen noemen. En klagen dat iets niet af is terwijl volkomen duidelijk is gemaakt dat het nog in ontwikkeling is, dat is iets waar ik weer niet van houd.
22-05-2017, 15:27 door Anoniem
Door Anoniem:
Toen het net live was zat er nog niet eens een script bij om het certificaat automatisch te verlengen, dat moest je
zelf dokteren. [...] Daar houd ik niet zo van.
Ze maakten er totaal geen geheim van hoe ze te werk gingen. Als dat je niet bevalt kan je er simpelweg voor kiezen het (nog) niet te gebruiken. Als het je niet bevalt en je gebruikt het toch dan kan zou je dat best een beetje dom kunnen noemen. En klagen dat iets niet af is terwijl volkomen duidelijk is gemaakt dat het nog in ontwikkeling is, dat is iets waar ik weer niet van houd.
Waar ik nog minder van houd is dat mensen mijn tekst verdraaien door een stuk weg te knippen waardoor een
opmerking ineens op iets anders lijkt te slaan!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.