Let's Encrypt moet honderdduizenden certificaten wegens fout intrekken
Certificaatautoriteit Let's Encrypt moet honderdduizenden certificaten wegens een fout in de code die het gebruikt voor domeincontrole intrekken. Dat heeft de organisatie vandaag aangekondigd. Let's Encrypt geeft gratis tls-certificaten uit voor het opzetten van beveiligde verbindingen en identificeren van websites.
Wanneer iemand een certificaat aanvraagt controleert Let's Encrypt dat de aanvrager ook eigenaar is van het betreffende domein waarvoor het certificaat wordt uitgegeven. Deze domeincontrole vindt via een zogeheten "challenge" plaats. Let's Encrypt ondersteunt verschillende soorten challenges. Eén hiervan is TLS-ALPN-01. Deze challenge werkt op basis van speciaal gemaakte certificaten die alleen voor de verificatie worden gebruikt, ook bekend als ALPN-certificaten.
In de software die Let's Encrypt gebruikt voor het verifiëren van de certificaataanvragen werden in de implementatie van TLS-ALPN twee "onregelmatigheden" ontdekt. Daarop heeft Let's Encrypt een oplossing uitgerold. Vanwege de aangetroffen problemen moet Let's Encrypt alle via TLS-ALPN uitgegeven certificaten die voor de implementatie van de oplossing zijn uitgegeven intrekken.
Het gaat om alle certificaten die voor 26 januari zijn uitgegeven. TLS-ALPN wordt niet standaard gebruikt en is volgens Let's Encrypt voor de meeste mensen ongeschikt. Vanwege de regels voor certificaatautoriteiten heeft Let's Encrypt vijf dagen om de certificaten in te trekken, waarmee aanstaande vrijdag 28 januari wordt begonnen. Volgens Let's Encrypt gaat het om minder dan 1 procent van de actieve certificaten. De certificaatautoriteit heeft meer dan 220 miljoen actieve uitgegeven certificaten in omloop. Let's Encrypt zal waar mogelijk gedupeerde gebruikers waarschuwen.
Wat betreft de regels omtrend 5 dagen: Hierover lijken de meningen nog te verschillen. Het CA/B Forum lijkt in deze juist 24 uur voor de schrijven, maar Let's Encrypt heeft een andere interpretatie in dit geval.
Wat betreft de regels omtrend 5 dagen: Hierover lijken de meningen nog te verschillen. Het CA/B Forum lijkt in deze juist 24 uur voor de schrijven, maar Let's Encrypt heeft een andere interpretatie in dit geval.
Letsencrypt heeft ook een andere interpretatie over hoe jij je systeembeheer moet doen. En de amerikanen hebben uberhaupt schijt aan wat de overkoepelende CA organisatie vindt.
Wat betreft de regels omtrend 5 dagen: Hierover lijken de meningen nog te verschillen. Het CA/B Forum lijkt in deze juist 24 uur voor de schrijven, maar Let's Encrypt heeft een andere interpretatie in dit geval.
En de amerikanen hebben uberhaupt schijt aan wat de overkoepelende CA organisatie vindt.
Dat valt nogwel mee, als er iets is worden ze vrij snel aangesproken
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.