Bez bližších podrobností včera Josh Aas, výkonný ředitel organizace ISRG provozující známou službu Let's Encrypt, oznámil zablokování validační metody tls-sni-01 protokolu ACME:
Obdrželi jsme věrohodné hlášení o problému s validací tls-sni-01 v protokolu ACME, která by mohla umožnit lidem získat certifikáty, které by jinak získat neměli. Zatímco hlášení prověřujeme, zakázali jsme validaci touto metodou.Více informací bude následovat.
Validační metoda tls-sni-01 je vynálezem tvůrců projektu. Spočívá ve vystavení self-signed certifikátu na neexistující doménové jméno, které obsahuje ověřovací kód. Certifikační autorita při ověřování naváže s daným doménovým jménem TLS spojení a do hlavičky SNI vloží toto speciální jméno. K úspěšnému ověření dojde, pokud server odpoví certifikátem vystaveným na dané speciální jméno.
Čtěte: Let's Encrypt: jak funguje a co nabídne
O povaze zranitelnosti můžeme zatím jen spekulovat. Nabízí se například možnost, že existuje platforma, která automaticky generuje self-signed certifikáty na libovolné doménové jméno. Taková by pak úspěšně ověřila libovolnou žádost.
Validační metodu tls-sni-01 používá především oficiální klient Certbot. Je výhodná pro automatizaci, protože vyžaduje minimální konfigurační zásahy do webserveru. Podle statistik naposledy publikovaných v květnu 2016 není zdaleka tak oblíbená, jako validace vystavením souboru na web serveru – tu používá většina ostatních ACME klientů a ostatně ji zvládne i Certbot. Zatím tedy není důvod k panice.
Doplněno: Let's Encrypt vydal oficiální stanovisko s podrobným popisem problému, kterému se věnujeme v samostatném článku.
