Посвідчувальний центр (УЦ) Let's Encrypt заявив про припинення підтримки протоколу TLS-SNI-01
Посвідчувальний центр (УЦ) Let's Encrypt заявив про припинення підтримки протоколу TLS-SNI-01
Посвідчувальний центр (УЦ) Let's Encrypt заявив про припинення підтримки протоколу TLS-SNI-01 через рік після того, як зловмисники запросили сертифікати Let's Encrypt для доменів, що не належать їм.
У січні 2018 року УЦ виявив, що TLS-SNI-01 та його планований наступник TLS-SNI-02 можуть використовуватися зловмисниками. Наприклад, умовна компанія має сайт investors.techcorp.com, що вказує на обслуговування контенту на хмарний хост, а не на investors.techcorp.com. Зловмисник теоретично може створити обліковий запис цього хмарного провайдера і додати в ньому HTTPS-сервер для investors.techcorp.com. Таким чином він зможе успішно видавати себе за компанію, якій належить сайт. Більше того, наявність у зловмисника сертифіката Let's Encrypt та протокол TLS-SNI-01 дозволить йому маскувати свої дії під правомірні.
Розширення SNI для протоколу TLS призначене для перевірки автентичності імені, що представляється сервером, що має велике значення у випадку, якщо IP-адреса обслуговує безліч сайтів. Коли стало відомо про вразливість, Let's Encrypt заблокував TLS-SNI-01 для нових облікових записів, але продовжив підтримку випущених сертифікатів. Проте, згідно з повідомленням УЦ, 13 лютого 2019 року підтримка протоколу припиниться. Тим, хто використовує TLS-SNI як механізм автентифікації, рекомендується перейти на DNS-01 і HTTP-01.
