Visszavon ma tanúsítványokat a Let's Encrypt - ellenőrizd, hogy érint-e téged

Titkosítás, biztonság, privát szféra

Egy bug miatt kénytelen a Let's Encrypt visszavonni több millió általa kiadott TLS/SSL tanúsítványt. A visszavonás 3 048 289 érvényes tanúsítványt érint. Az érintetteket e-mailben értesítik:

Due to the 2020.02.29 CAA Rechecking Bug 5.6k, we unfortunately need to revoke many Let’s Encrypt TLS/SSL certificates. We’re e-mailing affected subscribers for whom we have contact information. This post and thread will collect answers to frequently asked questions about this revocation, and how to avoid problems by renewing affected certificates early. If you’re affected, please: thoroughly read this thread, and search the community forum, for an answer to your question. If you don’t find one, please make a new post to the “Help” category, filling in the questions in the template that appears as you compose your post.

Domain neveket és SSL tanúsítványokat itt lehet ellenőrizni. Témába vágó FAQ itt.

( _ventura_ v | 2020. 03. 04., sze – 09:32 )

Még szerencse hogy van --register-unsafely-without-email  kapcsoló :D

Fedora 42, Thinkpad x280

( trey | 2020. 03. 04., sze – 09:42 )

The certificate currently available on hup.hu is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. 
Its serial number is 032b296c18991b24a549abda75cdcd14cacd
The certificate currently available on wiki.hup.hu is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. 
Its serial number is 049c42b6defa8f56f15d83ded4790be35416

trey @ gépház

( answ | 2020. 03. 04., sze – 13:15 )

Szerkesztve: 2020. 03. 04., sze – 13:23

Azért ez nem kicsi hiba volt. Nem lehetne legalább egy CA-nál normális kódot használni vagy ne adj isten teszteket írni rá? A verifikáció / validáció álomról inkább nem is beszélek..

Lásd a kódot:

https://bugzilla.mozilla.org/show_bug.cgi?id=1619047

Why wasn’t this caught by our tests? The bug was committed along with a unittest that covers the affected code: TestGetValidOrderAuthorizations2. This unittest exercises the broken code path, creating and retrieving an order with multiple authorizations. However, it does not adequately verify the contents of the returned authorizations, only that there were the correct number. We should have written a more thorough unittest here. Also, we should have written a lower-level unittest that tested modelToAuthzPB directly and verified its output. We will add both of these within the next three weeks.

Állítólag volt, csak szar :)

Azért mókás, hogy 2020-ban is még a referenciákkal bűvészkedésből vannak a bugok jó része... De vannak, akik nem tanulnak belőle.

Go, Designed by Robert Griesemer, Rob Pike, Ken Thompson

Ken Thompson - He also invented the B programming language, the direct predecessor to the C programming language, [...] Since 2006, Thompson has worked at Google, where he co-invented the Go programming language.

Plusz Rob Pike-al együtt dolgozott a Plan 9-on.

:)

( laysoft v | 2020. 03. 04., sze – 13:39 )

Szerkesztve: 2020. 03. 04., sze – 13:39

Nagy kár, hogy megszűnt a BuheraBlog, olyan szívesen elolvasnám a technikai részleteket magyarul is...

A tudomány és a hit vitája akkor eldőlt, amikor villámhárítót szereltek a templomokra.

Nagyon semmire, egy marhára nem használt plusz DNS-beli lehetőséget (CAA rekord: publikusan tudod vele dokumentálni, hogy melyik CA/CA-k által kiállított tanúsítványokat használod) hagytak figyelmen kívül (ezt a standard szerint csak a CA-knak kell nézniük, a CAB fórum meg megegyezett, hogy tényleg nézni is fogják, cserkészbecsszó...)

És hogy mennyi embert érint: a fenti bughoz csatolva van egy lista a 443 darab tartományról [és még ebben is vannak ismétlődések!], amire adtak ki certet az elmúlt időszakban, de a _jelen_ állás szerint nem szabadott volna (hogy a kiadás pillanatában volt-e CAA rekord, ami ellentmond ennek, azt már kb. soha nem tudjuk meg). Érdemes megnézni egyébként a listát, vannak közte .hu nevek is (többek közt egy politikus is :) ), de Exchange autodiscover hostnév is :)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

( coroner | 2020. 06. 18., cs – 09:05 )

Aztán végül csak meggondolta magát a Let's Encrypt és mégsem vonták vissza tanúsítványokat, ami szerintem annyiban hiba volt, hogy a visszavonási rendszer amúgy is számos sebből vérzik a kibocsátóktól függetlenül is, amit szerintem kár tetézni egy egyelég véleményes kibocsátói magatartással, jelesül, hogy nem vonják vissza a tanúsítványokat annak ellenére sem, hogy gond lehet velük. Részletesebben a kérdésről itt