Po wykryciu błędu weryfikacji w darmowych certyfikatach SSL, Let’s Enctrypt planował unieważnić zabezpieczenie dla ponad 3 milionów stron internetowych. Do unieważnienia ostatecznie nie doszło, jednak korzystający z certyfikatów zostali postawieni w trudnej sytuacji: wystawca zaczął informować o problemie dopiero 3 marca, a 4 marca planował anulować zabezpieczenia.
Aktualizacja 7.03.2020
Planowane na 4 i 5 marca masowe unieważnianie certyfikatów ostatecznie nie doszło do skutku. Część z użytkowników zaktualizowała zabezpieczenia, a dodatkowo programiści Let’s Encrypt wyodrębnili najbardziej zagrożone strony i postanowili cofnąć certyfikaty tylko dla nich. Zmianę decyzji przedstawiciele firmy motywują krótkim okresem życia certyfikatu (90 dni).
Czym jest Let’s Encrypt?
Let’s Encrypt to nazwa podmiotu (urzędu) certyfikującego, oferującego darmowe certyfikaty SSL. Tym mianem określa się jednak częściej sam certyfikat.
Na czym polegał problem z Let’s Encrypt?
Wykryty błąd związany był z rekordem CAA, w którym zadeklarowana jest lista dozwolonych dostawców certyfikatów dla określonej domeny. Let’s Encrypt, podczas weryfikacji praw do domeny, nie sprawdzał tego rekordu odpowiednio często.
Przed wydaniem certyfikatu SSL, każdy podmiot certyfikujący ma obowiązek sprawdzić, czy dla domeny można wystawić certyfikat od określonego dostawcy. Lista dostawców określana jest w rekordzie CAA domeny. Co ważne – nie jest to obowiązkowy rekord i zazwyczaj nie jest on dodawany, dzięki czemu domenę można zabezpieczyć certyfikatem dowolnej firmy.
Let’s Encrypt sprawdzał rekord CAA, robił to jednak jednorazowo, w momencie generowania potwierdzenia praw do domeny. Problem polegał na tym, że wiadomość potwierdzająca ważna była 30 dni, a w międzyczasie rekord CAA mógł zostać zmieniony. W takiej sytuacji, jeśli abonent domeny kliknął w link potwierdzający choćby dzień po wygenerowaniu wiadomości, mogło to skompromitować certyfikat.
Z jednego problemu wyniknął drugi: przedstawiciele Let’s Encrypt, po zidentyfikowaniu błędu, postanowili unieważnić potencjalnie skompromitowane certyfikaty. Informację o tej decyzji oraz o sposobie naprawienia sytuacji wysłali do użytkowników 3 marca. Niestety, nie zostawili im dużo czasu na działanie, ponieważ 4 marca planowali unieważnić certyfikaty.
Dlaczego warto zainwestować w płatny certyfikat SSL?
Razem z płatnym certyfikatem otrzymujesz nie tylko profesjonalne zabezpieczenie danych użytkowników strony internetowej, ale także pełne wsparcie biura obsługi klienta. Na forum społeczności korzystającej z Let’s Encrypt, głównym zastrzeżeniem, które wyrażali użytkownicy, był właśnie brak pomocy i kontaktu. Podobna sytuacja, w przypadku płatnego certyfikatu, nie mogłaby mieć miejsca.
Unieważnienie certyfikatów przez Let’s Encrypt w tak krótkim czasie miało na celu jak najszybsze wskazanie potencjalnie niebezpiecznych stron internetowych i zmuszenie właścicieli do aktualizacji zabezpieczeń. Takie podejście pokazuje priorytety, którymi kieruje się ten dostawca certyfikatów: ochronę własnego wizerunku oraz dbanie przede wszystkim o to, by przeglądarki wciąż respektowały zabezpieczenie. W przypadku płatnych certyfikatów, klienci, czyli właściciele stron i sklepów internetowych, mogą liczyć na znacznie więcej uwagi. Dotyczy to zarówno komunikacji, jak i sytuacji, w której certyfikat zostałby unieważniony.
Wybierając płatny certyfikat masz znacznie większy wybór produktów. Przede wszystkim, możesz kupić certyfikat z rozszerzoną weryfikacją (OV lub EV), która pozwala na umieszczenie nazwy firmy w informacji o certyfikacie. Dodatkowo, masz możliwość zamówienia certyfikatu na dłuższy okres (do 2 lat). Dla porównania: Let’s Encrypt wydawany jest na maksymalnie 90 dni. Po tym czasie konieczne jest jego odnowienie.
W MSERWIS oferujemy certyfikaty dostarczane wyłącznie przez uznane firmy, działające na rynku od wielu lat: Rapid SSL, GeoTrust i Sectigo.
Płatne certyfikaty, które mogą zastąpić Let’s Encrypt
Let’s Encrypt jest certyfikatem o najprostszej, automatycznej procedurze uwierzytelniania abonenta domeny (tzw. walidacji). Można nim ochronić jedną lub wiele nazw domenowych.
Najpopularniejsze płatne certyfikaty, którymi zabezpieczysz jedną nazwę domenową (z przedrostkiem www i bez niego):
Certyfikaty, które chronią jednocześnie wiele nazw domenowych, określamy mianem MultiDomain. Najpopularniejsze certyfikaty tego typu to:
Wszystkie wymienione certyfikaty zabezpieczają przesyłanie danych między przeglądarką internetową użytkownika a stroną internetową. Jeśli potrzebujesz porównać poszczególne produkty, przejdź do oferty certyfikatów SSL.
Otrzymaj profesjonalny certyfikat Sectigo wraz z pełnym jego wsparciem w pakietach Biznes lub ULTRA
W pakietach serwerów Biznes PRO, Biznes VIP oraz wszystkich hostingów Ultra, znajduje się profesjonalny certyfikat Sectigo. Zabezpieczysz nim wszystkie domeny podpięte pod serwer. Instalacja certyfikatu odbywa się automatycznie. Przez cały okres ważności serwera i certyfikatu, gwarantujemy jego pełne wsparcie techniczne i automatyczne bezobsługowe odnowienia.
Komentarze