Сертификационный центр Let's Encrypt позволяет веб-сайтам бесплатно получать SSL-сертификаты и использовать зашифрованное соединение для безопасной передачи данных. Эта криптографическая гарантия является основой HTTPS-протокола, который не позволяет перехватывать трафик или шпионить за вашими взаимодействиями с веб-сервисами.
Срок действия этих сертификатов истекает через определенное время, после окончания которого сертификат необходимо продлить. Это в значительной степени автоматизированный процесс, но если у сайта нет активного сертификата, браузер заметит это и может вообще не показать ваш сайт посетителю.
Работа Let's Encrypt происходит в фоновом режиме, но за несколько коротких лет это помогло сделать Интернет намного более безопасным на фундаментальном уровне. Сертификаты Let's Encrypt популярны, а их повсеместное распространение означает, что, если будет допущена какая-то ошибка или произойдет сбой, с негативными последствиями столкнется немалая часть владельцев сайтов и их пользователи. Именно это и произошло 29 февраля, когда ошибка чуть не вывела из строя 3 миллиона сайтов за считанные дни.
Что случилось? Let's Encrypt использует программное обеспечение Boulder для проверки сертификации. Специалисты сертификационного центра нашли ошибку в рабочем коде для Certification Authority Authorization. Выяснилось, что с 25 июля прошлого года Boulder функционировал некорректно — ПО с ошибками обрабатывало процедуру повторной выдачи сертификатов. Если программа видела, что в запросе сертификата содержится N доменов, то она выбирала из всего "набора" только одно доменное имя и проверяла его N раз.
По словам исполнительного директора ISRG Джоша Ааса, реальные последствия для безопасности этого внутреннего сбоя были минимальными. В то же время Let's Encrypt не могла допустить, чтобы ошибка, которая затрагивала 2,6% его активных сертификатов (всего 3 048 289, на момент подтверждения проблемы), оставалась. По мнению Ааса, серьезность ошибки была не очень высока, но эти 3 миллиона сертификатов были выданы несоответствующим образом, поэтому сертификационный центр был вынужден их отозвать.
В течение двух минут после подтверждения ошибки команда Let's Encrypt прекратил выпускать новые сертификаты, а спустя два часа специалисты центра исправили саму ошибку.
Большим компаниям было легче решить проблему, потому что у них, как правило, есть ресурсы для отслеживания любых проблем и инструменты для автоматизации процесса обновления. Небольшие сайты получили большую помощь от Electronic Frontier Foundation, который управляет Certbot, бесплатным ПО для автоматического добавления и обновления сертификатов Let's Encrypt на сайте.
Быстрая реакция на проблему со стороны специалистов сертификационного центра позволила в очередной раз сохранить высокий уровень безопасности интернета. Однако это еще не все. Если ваш SSL-сертификат был выпущен после 25 июля 2019 года, рекомендуем обратить внимание на пару ссылок:
- Здесь вы можете посмотреть серийные номера всех затронутых сертификатов.
- Приобрести недорогие SSL-сертификаты от простого подтверждения домена до "зеленой строки" — бизнес-сертификата высокого уровня доверенности с подтверждением компании — можно на сайте 1cloud.
Понравилась статья? Тогда ставьте лайк и подписывайтесь на канал, чтобы не пропускать новые выпуски!