Let’s Encrypt рассказал об уязвимости, позволяющей в обход получить сертификат безопасности

Уязвимость Let's Encrypt

9 января специалист сервиса Detectify сообщил Let’s Encrypt об уязвимости в протоколе TLS-SNI-01, позволяющей обходным путем получить сертификат безопасности от Let’s Encrypt. Пока разработчики отключили протокол – это полностью закрывает брешь, но подходит только в качестве временной меры.

Владелец одного домена мог получить сертификат на чужой, если:

  • тот обслуживается на том же хостинге, предоставляющем несколько виртуальных хостов через один IP;
  • хостинг-провайдер предоставил пользователю полномочия загружать сертификаты с произвольным именем домена, не подтверждая на него права.

Сейчас Let’s Encrypt работает над решением вместе с проблемными хостинг-провайдерами, параллельно составляет их перечень и обещает вернуть поддержку TLS-SNI-01 для всех провайдеров, кроме черного списка.

Источник: OpenNet