Let's Encrypt прекратит поддержку TLS-SNI-01

Удостоверяющий центр (УЦ) Let's Encrypt заявил о прекращении поддержки протокола TLS-SNI-01 спустя год после того, как злоумышленники запросили сертификаты Let's Encrypt для не принадлежащих им доменов.

В январе 2018 года УЦ обнаружил , что TLS-SNI-01 и его планируемый преемник TLS-SNI-02 могут использоваться злоумышленниками. К примеру, у условной компании есть сайт investors.techcorp.com, указывающий для обслуживания контента на облачный хост, а не на investors.techcorp.com. Злоумышленник теоретически может создать учетную запись у этого облачного провайдера и добавить в ней HTTPS-сервер для investors.techcorp.com. Таким образом, он сможет успешно выдавать себя за компанию, которой принадлежит сайт. Более того, наличие у злоумышленника сертификата Let's Encrypt и протокола TLS-SNI-01 позволит ему маскировать свои действия под правомерные.

Расширение SNI для протокола TLS предназначено для проверки подлинности представляемого сервером имени, что имеет большое значение в случае, если IP-адрес обслуживает множество сайтов. Когда стало известно об уязвимости, Let's Encrypt заблокировал TLS-SNI-01 для новых учетных записей, но продолжил поддержку уже выпущенных сертификатов. Тем не менее, согласно сообщению УЦ, 13 февраля 2019 года поддержка протокола прекратится. Тем, кто использует TLS-SNI в качестве механизма проверки подлинности, рекомендуется перейти на DNS-01 и HTTP-01.