Media is too big
VIEW IN TELEGRAM
LetsEncrypt-Project-Instructions.pdf
599.3 KB
Записки админа
На HN появился занятный тред об уязвимости в сервисе Let's Encrypt, из-за которой сервису пришлось отключить способ проверки владения доменом с помощью TLS-SNI-01. Альтернативные методы (http и dns) продолжают работать в обычном режиме. Подробностей в блоге…
К слову, история получила продолжение.
https://community.letsencrypt.org/t/2018-01-09-issue-with-tls-sni-01-and-shared-hosting-infrastructure/49996/5
Для начала, Let's Encrypt раскрыли информацию об уязвимости в методе проверки. Ей были подвержены хосты, на которых совпадали два условия:
- В рамках одного IP адреса размещается большое количество доменов.
- На хостинге доступна загрузка сертификата для произвольного домена без подтверждения прав на него.
Что происходило дальше, думаю, вполне понятно - злоумышленник, воспользовавшись подтверждением TLS-SNI-01 мог получить сертификат для домена, контроля над которым он не имеет. Для части провайдеров, у которых описанных выше проблем нет, TLS-SNI-01 в работу вернули, однако для новых аккаунтов этот метод отключен. Актуальная информация и некоторые итоги по инциденту собраны в отдельном посте:
https://community.letsencrypt.org/t/2018-01-11-update-regarding-acme-tls-sni-and-shared-hosting-infrastructure/50188
А вот здесь, разработчики certbot'а приглашают всех к участию в тестировании новой версии утилиты:
https://community.letsencrypt.org/t/help-test-certbot-apache-and-nginx-fixes-for-tls-sni-01-outage/50207
Обязательно загляните, если certbot'ом пользуетесь и LE в работе используете.
#letsencrypt #certbot #security
https://community.letsencrypt.org/t/2018-01-09-issue-with-tls-sni-01-and-shared-hosting-infrastructure/49996/5
Для начала, Let's Encrypt раскрыли информацию об уязвимости в методе проверки. Ей были подвержены хосты, на которых совпадали два условия:
- В рамках одного IP адреса размещается большое количество доменов.
- На хостинге доступна загрузка сертификата для произвольного домена без подтверждения прав на него.
Что происходило дальше, думаю, вполне понятно - злоумышленник, воспользовавшись подтверждением TLS-SNI-01 мог получить сертификат для домена, контроля над которым он не имеет. Для части провайдеров, у которых описанных выше проблем нет, TLS-SNI-01 в работу вернули, однако для новых аккаунтов этот метод отключен. Актуальная информация и некоторые итоги по инциденту собраны в отдельном посте:
https://community.letsencrypt.org/t/2018-01-11-update-regarding-acme-tls-sni-and-shared-hosting-infrastructure/50188
А вот здесь, разработчики certbot'а приглашают всех к участию в тестировании новой версии утилиты:
https://community.letsencrypt.org/t/help-test-certbot-apache-and-nginx-fixes-for-tls-sni-01-outage/50207
Обязательно загляните, если certbot'ом пользуетесь и LE в работе используете.
#letsencrypt #certbot #security
Let's Encrypt Community Support
2018.01.09 Issue with TLS-SNI-01 and Shared Hosting Infrastructure
[Update 2018-01-18: The most up-to-date summary is at IMPORTANT: What you need to know about TLS-SNI validation issues] At approximately 5 p.m. Pacific time on January 9, 2018, we received a report from Frans Rosén of Detectify outlining a method of exploiting…
⚙️ Lexicon.
Мне прислали ссылку на Github, но на мой взгляд, инструмент таки стоит того, что бы сделать по нему отдельную обзорную заметку. 🤓
Lexicon - утилита для автоматизации работы с DNS сервисами (Cloudflare и т. п.). Поставил, посмотрел, показал как можно добавить её к certbot для выпуска wildcard сертификатов.
📗 https://sysadmin.pm/lexicon/
#certbot #lexicon #фидбечат
Мне прислали ссылку на Github, но на мой взгляд, инструмент таки стоит того, что бы сделать по нему отдельную обзорную заметку. 🤓
Lexicon - утилита для автоматизации работы с DNS сервисами (Cloudflare и т. п.). Поставил, посмотрел, показал как можно добавить её к certbot для выпуска wildcard сертификатов.
📗 https://sysadmin.pm/lexicon/
#certbot #lexicon #фидбечат
Записки админа
lexicon - Записки админа
lexicon — утилита, для управления настройками NS на разных DNS сервисах без необходимости ручных правок в панелях
⚙️ Certbot dns cloudflare
Немного дополним тему автоматизации получения SSL сертификатов. Заметка о том, как можно автоматизировать выпуск сертификатов с помощью специального cloudflare модуля для certbot'а.
📗 https://sysadmin.pm/certbot-dns-cloudflare/
Как верно мне подметили в одном из диалогов, Lexicon, штука хорошая, но лучше таки использовать нативные инструменты, если такая возможность имеется.
#certbot #ssl #cloudflare
Немного дополним тему автоматизации получения SSL сертификатов. Заметка о том, как можно автоматизировать выпуск сертификатов с помощью специального cloudflare модуля для certbot'а.
📗 https://sysadmin.pm/certbot-dns-cloudflare/
Как верно мне подметили в одном из диалогов, Lexicon, штука хорошая, но лучше таки использовать нативные инструменты, если такая возможность имеется.
#certbot #ssl #cloudflare
Записки админа
Certbot dns cloudflare - Записки админа
Сertbot dns cloudflare - модуль для certbot, позволяющий автоматизировать выпуск сертификатов доменам, которые расположены на Cloudflare.
🤖 И да, тут начались некоторые споры по поводу того, какой бинарник для let's encrypt/certbot брать и где. Есть хороший сайт, на котором сразу же можно получить нужные рекомендации под конкретный софт конкретной ОС: https://certbot.eff.org/instructions Возьмите на заметку, если ещё не знали о нём раньше.
#letsencrypt #certbot
#letsencrypt #certbot