Let's Encrypt обеспечивает безопасность миллионов сайтов, но для проверки сертификатов полагается на Cloudflare.
В России доступ к этому сервису нестабилен, а последствия перебоев затрагивают и бизнес, и обычных пользователей.
Разбираем проблему.
По
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Их валидация зависит от OCSP, а OCSP — от Cloudflare, который в России работает нестабильно.
Разбираемся, насколько серьезной может стать ситуация.
Что такое Let's Encrypt
Let's Encrypt — это бесплатный, автоматизированный и открытый Центр сертификации (ЦС).Он занимается выдачей SSL/TLS-сертификатов для сайтов и обеспечивает безопасное соединение по HTTPS.
Проект некоммерческой организации
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Let's Encrypt опирается на следующие принципы:
- Доступность: любой владелец домена может использовать Let's Encrypt для получения SSL/TLS-сертификатов без финансовых затрат.
- Автоматизация: программное обеспечение, работающее на веб-сервере, выпускает, обновляет и настраивает сертификаты без участия человека.
- Безопасность: Let's Encrypt выступает платформой для внедрения передовых технологий в сфере TLS, и на стороне ЦС, и помогая владельцам сайтов защищать их серверы.
- Прозрачность: все выданные и отозванные сертификаты публикуются в открытом реестре, а протоколы автоматического выпуска и продления оформлены как открытые стандарты и находятся в
.Чтобы увидеть нужно авторизоваться или зарегистрироваться.
- Взаимодействие: Let's Encrypt — результат совместных усилий сообщества, а не проект одной компании.
Как связаны Let's Encrypt и OCSP
При посещении сайта браузер должен получить подтверждение действительности SSL-сертификата.Для этого используется технология OCSP (Online Certificate Status Protocol) — это онлайн-запрос к серверу центра сертификации, который проверяет, был ли сертификат отозван.
Let's Encrypt применяет OCSP-проверки по умолчанию.
Это часть экосистемы безопасности TLS: она позволяет браузеру вовремя узнать о проблемах с сертификатом — например, если тот был скомпрометирован и отозван.
Чтобы эти проверки работали, браузер обращается к OCSP-серверу Let's Encrypt.
Здесь не обойтись без Cloudflare.
Причем здесь Cloudflare
Для ускорения и масштабирования ответов на OCSP-запросы Let's Encrypt использует инфраструктуру Cloudflare, чтобы стабильно и быстро доставлять данные по всему миру, без нагрузки на основную инфраструктуру Центра сертификации.В российском сегменте интернета такая схема вызывает проблемы.
Cloudflare не имеет представительства в нашей стране, вопреки
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Компания не хранит
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
«Судя по информации в открытом доступе, Cloudflare в России целенаправленно замедляют, как это делали с Youtube.
Каким образом — у нас такой информации нет. Предположительно блокировка происходит на оборудовании ТСПУ, независимо от операторов связи.
В регионах могут одновременно применяться разные способы ограничения. Полную картину можно составить только на основе отзывов интернет-пользователей со всей страны».
Здесь и далее в тексте, приводим слова Дмитрия Никонова, руководителя направления защиты на уровне веб-приложения DDoS-Guard.
Проблемы с доступностью Cloudflare приводят к тому, что запросы к OCSP-серверам могут не доходить до адресата или делают это с задержкой.
В результате браузеры не получают своевременного подтверждения валидности сертификата.
Как это повлияет на пользователей
Кажется, что проблемы с OCSP-запросами касаются только технической стороны, но фактически последствия затрагивают более половины всех пользователей интернета, даже тех, кто не интересуется ни сертификатами, ни шифрованием.Как мы говорили, если браузер не может получить ответ от OCSP-сервера, он считает сертификат недействительным.
В лучшем случае — пользователь увидит предупреждение о потенциальной угрозе безопасности, в худшем — сайт вообще не откроется.
Это критично для ресурсов с параметром
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Проблемы для бизнеса
От возможных перебоев с OCSP пострадают в первую очередь сайты малого и среднего бизнеса.Уязвимы и проекты, которые полностью полагаются на бесплатные или базовые решения, не предусматривающие резервирования.
Если компании напрямую не используют Cloudflare, они все равно могут зависеть от работоспособности компании в России, поскольку Encrypt отдает OCSP-ответы через узлы Cloudflare.
Это значит, что перебои в работе Cloudflare в нашей стране приведут к недоступности сайта для клиентов.
Крупным компаниям проще, поскольку у них есть ресурсы для реализации резервных решений.
Проблемы с переходом на российские сертификаты
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Еще есть Buypass (
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Альтернативой Let's Encrypt могут стать отечественные аналоги.
Например,
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
Однако их замена в браузерах или на устройствах — не самый простой процесс.
«Чтобы другие TLS-сертификаты заработали, на клиентских устройствах нужно провести ряд манипуляций, абсолютно непонятных обычному пользователю.
И не везде это возможно: например, большой вопрос — можно ли такое сделать на умных телевизорах?
Фактически "умная" часть устройства может превратиться в “кирпич”».
Возможности для мошенников
Техническая неразбериха — это шанс для злоумышленников.Пользователи, у которых «еще вчера все открывалось, а теперь нет», могут легко попасть на удочку тех, кто предлагает «установить нужный сертификат» или «настроить доступ», чтобы все снова работало.
Под этим предлогом мошенники могут получить все, что им нужно: пароли, банковские данные, аккаунт Госуслуг и другую чувствительную информацию.
Оригинал:
Чтобы увидеть нужно авторизоваться или зарегистрироваться.
