Let's Encrypt moet honderdduizenden certificaten wegens fout intrekken
Certificaatautoriteit Let's Encrypt moet honderdduizenden certificaten wegens een fout in de code die het gebruikt voor domeincontrole intrekken. Dat heeft de organisatie vandaag aangekondigd. Let's Encrypt geeft gratis tls-certificaten uit voor het opzetten van beveiligde verbindingen en identificeren van websites.
Wanneer iemand een certificaat aanvraagt controleert Let's Encrypt dat de aanvrager ook eigenaar is van het betreffende domein waarvoor het certificaat wordt uitgegeven. Deze domeincontrole vindt via een zogeheten "challenge" plaats. Let's Encrypt ondersteunt verschillende soorten challenges. Eén hiervan is TLS-ALPN-01. Deze challenge werkt op basis van speciaal gemaakte certificaten die alleen voor de verificatie worden gebruikt, ook bekend als ALPN-certificaten.
In de software die Let's Encrypt gebruikt voor het verifiëren van de certificaataanvragen werden in de implementatie van TLS-ALPN twee "onregelmatigheden" ontdekt. Daarop heeft Let's Encrypt een oplossing uitgerold. Vanwege de aangetroffen problemen moet Let's Encrypt alle via TLS-ALPN uitgegeven certificaten die voor de implementatie van de oplossing zijn uitgegeven intrekken.
Het gaat om alle certificaten die voor 26 januari zijn uitgegeven. TLS-ALPN wordt niet standaard gebruikt en is volgens Let's Encrypt voor de meeste mensen ongeschikt. Vanwege de regels voor certificaatautoriteiten heeft Let's Encrypt vijf dagen om de certificaten in te trekken, waarmee aanstaande vrijdag 28 januari wordt begonnen. Volgens Let's Encrypt gaat het om minder dan 1 procent van de actieve certificaten. De certificaatautoriteit heeft meer dan 220 miljoen actieve uitgegeven certificaten in omloop. Let's Encrypt zal waar mogelijk gedupeerde gebruikers waarschuwen.
Wat betreft de regels omtrend 5 dagen: Hierover lijken de meningen nog te verschillen. Het CA/B Forum lijkt in deze juist 24 uur voor de schrijven, maar Let's Encrypt heeft een andere interpretatie in dit geval.
Wat betreft de regels omtrend 5 dagen: Hierover lijken de meningen nog te verschillen. Het CA/B Forum lijkt in deze juist 24 uur voor de schrijven, maar Let's Encrypt heeft een andere interpretatie in dit geval.
Letsencrypt heeft ook een andere interpretatie over hoe jij je systeembeheer moet doen. En de amerikanen hebben uberhaupt schijt aan wat de overkoepelende CA organisatie vindt.
Wat betreft de regels omtrend 5 dagen: Hierover lijken de meningen nog te verschillen. Het CA/B Forum lijkt in deze juist 24 uur voor de schrijven, maar Let's Encrypt heeft een andere interpretatie in dit geval.
En de amerikanen hebben uberhaupt schijt aan wat de overkoepelende CA organisatie vindt.
Dat valt nogwel mee, als er iets is worden ze vrij snel aangesproken
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
