Certificaatautoriteit Let's Encrypt heeft vanwege een beveiligingslek een onderdeel uitgeschakeld waarmee het controleert of de aanvrager van een tls-certificaat ook de eigenaar van het bijbehorende domein is. Via de kwetsbaarheid had een aanvaller certificaten kunnen aanvragen voor domeinen die niet van hem waren.
Tls-certificaten worden gebruikt voor het opzetten van een versleutelde verbinding tussen websites en bezoekers. Let's Encrypt, dat gratis tls-certificaten uitgeeft, beschikt over verschillende methodes om te controleren of de aanvrager van een certificaat ook de eigenaar van het bijbehorende domein is. Eén van die methodes is de "ACME TLS-SNI-01" validatie, waarbij er communicatie tussen de server van het opgegeven domein en de server van Let's Encrypt plaatsvindt. Op deze manier valideert Let's Encrypt dat het om een legitieme aanvraag gaat.
Er bevindt zich echter een probleem in de validatiemethode waardoor mensen certificaten konden krijgen die ze niet hadden moeten krijgen, zegt Josh Aas, directeur van de Internet Security Research Group (ISRG). Dergelijke certificaten zouden mogelijk voor man-in-the-middle-aanvallen of phishingsites kunnen worden gebruikt. Let's Encrypt is een initiatief van de ISRG en wordt gesteund door Mozilla, Akamai, Cisco, de Amerikaanse burgerrechtenbeweging EFF en andere partijen.
De certificaatautoriteit heeft nu besloten om de validatiemethode uit te schakelen, aangezien dit het probleem volledig verhelpt. Op Hacker News meldt Aas dat er voor zover bekend geen misbruik van de kwetsbaarheid is gemaakt, behalve door de onderzoeker die het probleem ontdekte en aan Let's Encrypt rapporteerde. Verdere details zegt Aas nog niet te kunnen geven. Of de TLS-SNI-validatie permanent uitgeschakeld blijft is nog niet besloten.
Aas heeft meer informatie over de kwetsbaarheid gegeven. Het beveiligingslek kon zich voordoen bij bepaalde shared hostingomgevingen. Het gaat om omgevingen waarbij veel gebruikers op hetzelfde ip-adres worden gehost en gebruikers de mogelijkheid hebben om certificaten voor willekeurige namen te uploaden, zonder te bewijzen dat ze eigenaar van het domein zijn. Hostingproviders waarvan bekend is dat ze kwetsbaar zijn, zijn inmiddels ingelicht en werken aan een oplossing. Let's Encrypt is nu bezig met het inventariseren van andere kwetsbare providers. Vervolgens zal de validatiemethode weer worden ingeschakeld, behalve voor providers die nog geen maatregelen hebben getroffen.
Deze posting is gelocked. Reageren is niet meer mogelijk.