January 10, 2018

С Новым Годом. Канал возвращается с каникул, но следует обычному правилу: мы не пишем про CES (что случилось в Вегасе должно остаться в Вегасе) и не возвращаемся к темам, произошедшим за время каникул (привет чипокалипсису).

Но определенно 2018 начался как год массовых проблем с безопасностью. Один из оплотов свободы и безопасности в сети, Let’s Encrypt заявил об отключении протокола TLS-SNI (по спецификации tls-sni-01) у себя, из-за того, что увидел явные признаки уязвимости в его работе. Протокол TLS-SNI (на самом деле это расширение протокола TLS) позволяет при соединении с хостом указать конкретный домен, от которого запрашивается сертификат. В простейшем случае это нужно для защиты от MITM атак, насколько я понимаю.

По сути, речь идет об уязвимости на уровне протокола и взаимодействия провайдера услуги. При этом пока никаких признаков эксплуатации этой уязвимости у себя ребята из let’s encrypt не увидели, проблема носит теоретический характер. И возможно, что мы еще увидим возвращение TLS-SNI, вроде бы tls-sni-03 этой проблемы уже лишен.

letsencrypt.status.io/pages/incident/55957a99e800baa4470002da/5a55777ed9a9c1024c00b241

Let's Encrypt Status

Support for Let's Encrypt services is community-based and information on current status and outages can be found at: https://community.letsencrypt.org