Lek in Let's Encrypt gedicht

Let’s Encrypt kent HTTPS-webites gratis en geautomatiseerd certificaten toe. Voor die toekenning hanteert deze non-profit certificaat autoriteit (CA) drie manieren om via zijn ACME-protocol (Automatic Certificate Management Environment) verzoeken voor TLS-certificaten te valideren. Deze certificaten worden geacht veilige verbindingen te garanderen als gebruikers op het web gaan met het bekende slot-icoon. Alleen de TLS-SNI-validatie wordt nu uit gebruik genomen. De twee andere methodes, HTTP-01 en DNS-01, blijven wel in werking.

TLS-SNI kan misbruikt worden door aanvallers om HTTPS-certificaten te verkrijgen voor websites waarvan zij niet de eigenaar zijn. Het gevaar hierbij is dat de aanvaller een domeinnaam kan misbruiken die verwijst naar een hosting service. De aanvaller kan dit domein gebruiken met een illegaal toegekend certificaat om neppagina’s betrouwbaar te laten lijken zonder dat die aanvaller eigenaar is van het domein. TLS-SNI is hiervoor te misbruiken, maar ook de opvolger hiervan, TLS-SNI-02, die al gepland was. Het misbruik wordt ook mogelijk gemaakt doordat veel hosting providers niet controleren wie de eigenaar is van een domein dat zij hosten. Het misbruik is vooral mogelijk bij cloudproviders.

Het lek is vorige week ontdekt door Frans Rosén, onderzoeker bij Detectify.

De Internet Security Research Group (ISRG),de non-profit-organisatie achter Let’s Encrypt, laat weten dat TSL-SNI-validatie definitief gestopt is. Dat geldt ook voor versie 2 die nog niet in gebruik is.