Let's encrypt временно меняет правила выпуска сертификатов

9 января появилась информация о том, что Let's Encrypt, удостоверяющий центр, доминирующий на рынке TLS-сертификатов, отключил один из протоколов выпуска сертификатов.

Обнаруженнная уязвимость в протоколе выпуска TLS-SNI-01 позволяет злоумышленнику получить сертификат на домен, который находится на том же IP-адресе, что и подконтрольный ему. Для этого достаточно быть клиентом одного из крупных хостинг-провайдеров, которые позволяют пользователям самостоятельно размещать TLS-сертификаты на хостинге. Сейчас сообщается о двух таких провайдерах, названия которых не разглашаются. Технические подробности доступны по ссылке.

Компания объявила о приостановке использования протокола подтверждения TLS-SNI-01 до того, как будут выработаны контрмеры. Прочие способы подтверждения контроля за доменом при выпуске сертификата доступны для использования в штатном режиме.


Возврат к списку