Nul
Bestand Foto
Laten we Coderen is uitgeschakeld in de TLS-SNI-01 validatie na de ontdekking van een aanval kunnen kapen-certificaten met behulp van het protocol.
De certificaat autoriteit en biedt een gratis SSL-en TLS-certificaten voor de webmasters, ontvangen een verslag van Detectify security professional en bug bounty hunter Frans Rosén die suggereerde de TLS-SNI-01 systeem misbruikt zouden kunnen worden.
Op 9 januari, Rosén gemeld dat door gebruik te maken van de ACME TLS-SNI-01 uitdaging type, was het mogelijk om gebruik maken van een aantal van de shared hosting-infrastructuur en netwerken voor het verkrijgen van certificaten voor de domeinen die niet van u is.
Volgens een community-forum bericht door Josh Aas, ISRG Uitvoerend Directeur, de aanval methode werd al snel bevestigd door Laten Coderen, dat de gehandicapte de validatie type om het probleem verhelpen.
De exploit bestaat vanwege de ACME protocol TLS-SNI-01 uitdaging procedure. De ACME-server, of een certificaat autoriteit — valideert een domein naam door het genereren van een willekeurige pion en communiceren naar de klant.
Deze klant maakt vervolgens gebruik van het token te maken van een zelf-ondertekend certificaat met een specifieke, ongeldige hostnaam en de domeinnaam van de webserver is gevalideerd om te dienen in het certificaat.
De ACME server zoekt dan de naam van het domein IP-adressen, initialiseert een TLS-verbinding en stuurt het ongeldige hostnaam aan de SNI-extensie. Als het antwoord is een zelf-ondertekend certificaat bevat de hostnaam, wordt de opdrachtgever geacht moeten worden in de controle van de naam van het domein en is dus toegestaan om de uitgifte van certificaten voor.
Echter, de onderzoeker merkte op dat “ten minste twee” grote hosting providers voor vele gebruikers op hetzelfde IP-adres en gebruikers zijn in staat om te uploaden certificaten voor willekeurige namen zonder te bewijzen dat zij controle hebben van een domein.
Wanneer aan beide voorwaarden is in te spelen, een succesvol exploiteren van TLS-SNI-01 is het mogelijk.
Wanneer het probleem werd gemeld, Laten we Coderen snel uitgeschakeld, wordt de validatie protocol in-Laten we Coderen. Echter, deze uitdaging een gangbaar type is voor het verkrijgen van de certificaten, en dus verplaatsen is enkel en alleen een noodoplossing totdat oplossingen voor in de plaats.
“Het is belangrijk dat we herstellen van de dienst, indien mogelijk, al zullen we alleen doen als we zijn ervan overtuigd dat de TLS-SNI-01 uitdaging type is voldoende veilig,” de organisatie zegt. “Op dit moment zijn wij van mening dat het probleem kan worden opgelost door het hebben van bepaalde diensten implementeren aanbieders sterker controles voor domeinen die gehost worden op hun infrastructuur.”
Zie ook: het gebruik van Let ‘ s Coderen om uw websites
Om te voorkomen dat er te veel verstoring tot belangrijke diensten, Laten we Coderen besloten om opnieuw de uitdaging voor sommige providers “van wie bekend is dat niet om problemen, terwijl we na het opnieuw aanzetten van TLS-SNI-01 in het algemeen”, aldus de organisatie.
Anderen kennis te hebben genomen van deze aanval en oplossingen worden ingezet, maar als providers niet het probleem aan te pakken, hun gebruik van de TLS-SNI-01 uitdaging type zal worden geblokkeerd om gebruikers te beschermen.
Vorige en aanverwante dekking
Laten we Coderen brengt gratis wildcard certificaten op het web Zero-day kwetsbaarheden kapen volledige Dell EMC Data Protection Suite van Carphone Warehouse, een boete van £400,000 over 2015 data-inbreuk
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0