GlobalSign: Sådan fixer du problemer efter certifikatbommert

14. oktober 2016 kl. 09:419
Efter misèren med et certifikat der utilsigtet blev tilbagekaldt med øjeblikkelig varsel, forsøger GlobalSign at hjælpe kunder og brugere.
Henning Mølsted
Henning Mølsted
Redaktionschef
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Henning Mølsted
Henning Mølsted
Redaktionschef

Har du pt. problemet med at tilgå websites pga. certifikatspærring, så kan det skyldes en fejl fra certifikatleverandøren GlobalSign, som ved en fejl kom til at tilbagekalde et certifikat med øjeblikkelig varsel, hvor det skulle have haft en uges levetid mere.

Fejlen er rettet, men kan overleve i din cache. Du kan cleare din cache ved at følge denne vejledning.

Er du kunde hos GlobalSign kan du installere et certifikat fra en alternativ udbyder med samme udbredelse, og som ikke var ramt af fejlen. Se vejledningen her

Artiklen fortsætter efter annoncen

Version2 skrev i går, at flere danske websites er eller har været helt eller delvist utilgængelige for brugerne som følge af en fejl fra udbyderen af rodcertifikater, GlobalSign.

Bl.a. dr.dk, Sparekassen Kronjylland og ifølge en Version2-kilde også Skat.dk ramt.

Læs historien her.

Emner
9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
Jesper Kristensen
16. oktober 2016 kl. 14:30

Ifølge GlobalSigns incident report var problemet at deres OCSP software havde en bug, så da de tilbagekaldte et certifikat, genererede softwaren tilbagekaldelser for alle certifikater der havde en række attributter til fælles med det tilbagekaldte certifikat.

Ville man som GlogalSign-kunde ikke kunne have undgået problemet, ved at implementere OCSP Stapling? (og gjort det rigtigt, https://gist.github.com/sleevi/5efe9ef98961ecfb4da8 ) Derved kunne man selv sikre at det tilbagetrukne OCSP-svar blev filtreret fra.

  • more_vert
    • insert_linkKopier link
6
Slettet bruger
14. oktober 2016 kl. 13:40

Det er ikke helt korrekt, at nogen driver det for at vise en pointe - det drives af højt betalte folk:https://letsencrypt.org/2016/09/20/what-it-costs-to-run-lets-encrypt.html

Der bliver brugt 2 millioner dollars om året på aflønning af ganske få personer. Det er en non-profit ja, men det bliver ikke drevet af nørder der bare vil vise at det kan gøres gratis. Det drives med penge fra donationer.

Man kan jo mene om CA'erne hvad man vil, men de er allesammen underlagt en masse krav fra CA/Browser Forum - og de skal overholdes uanset om man er stor og tjener penge eller om man er non-profit. De folk der sidder med snitterne i maskinen hos samtlige CA'er er formentlig dygtige folk, som ved en ting eller to. Men vi har vel alle prøvet at lave en fat-finger i vores karierre, hvor vi har fucket et eller andet op, som vi så har fixet i løbet af kort tid igen.

Samme er sket her - problemet er bare, at fejlen er sket i noget der caches ekstremt heavy på edge noder i hele verden og derfor er det ikke sårn bare lige at invalidere de caches igen.

Jeg er i øvrigt overhovedet ikke fan af GlobalSign. Jeg er stor tilhænger af LE, men jeg pointerer bare at fejl sker - og selvom det så var rene entusiaster der drev LE, så ville sådan en fejl også kunne ske dér :)

Sidste tilføjelse, så har CA'erne på DV kun den berettigelse at man kan købe mere end 3 måneder ad gangen. På diverse devices hvor LE ikke er indbygget og som måske ikke kan lytte på HTTP osv. osv. kan man hurtigt blive gråhåret over at skulle udstede et LE cert.

På EV har CA'erne deres berettigelse, for nogen skal jo lave det arbejde, hvis man vil have sådan et produkt. Og valideringen af organisationer giver al mulig mening, for scammers er efterhånden også begyndt at bruge DV SSL.

  • more_vert
    • insert_linkKopier link
5
Flemming Jacobsen
14. oktober 2016 kl. 12:54

@Nikolaj: Ja, selvfølgelig kunne fejlen være sket hos Let's Encrypt. Min pointe er "Hvorfor betale dyrt for et produkt der ikke leveres professionelt, når man kan få samme kvalitet gratis?"

Og i praksis tror jeg faktisk at kvaliteten fra Let's Encrypt er højere end for de fleste CA, fordi Let's Encrypt ikke har et krav om at tjene penge (med tilsvarende press på billig bemanding og deraf følgende skills), men istedet køres af interesserede der vil vise en pointe.

  • more_vert
    • insert_linkKopier link
4
Slettet bruger
14. oktober 2016 kl. 12:27

Flemming Jacobsen: Det budskab er lidt malplaceret her. Fejlen der er sket hos GlobalSign er, at man ved en fejl har revoked et intermediate-certifikat. Der er tale om en menneskelig fejl - og den kunne ligeså godt ske hos IdenTrust, som danner root CA for Let's Encrypt.

Selvom CA'en har reageret hurtigt, så er skaden sket - for CRL/OCSP bliver cached over det hele og pga. disse caches er der op til 4 dage før TTL er udløbet alle steder.

Jeg ved ikke om LE certifikater er cross signed, men heldigvis gør GlobalSign så de har kunnet issue nye intermediates deres kunder kunne bruge fra en anden CA.

Morten Hartvig: What? Reverse proxy? Hvad snakker du egentlig om? TLS kan fint termineres på webserverne.

Adskillige af de store webhoteller i Danmark tilbyder Let's Encrypt eller anden gratis SSL - også dem til 10 kr/md, så er ikke helt med på hvor dine fakta stammer fra.

  • more_vert
    • insert_linkKopier link
2
Morten Hartvig
14. oktober 2016 kl. 11:15

Præcis!

Kan ikke forstå, at alle de store webhoteller i danmark ikke tilbyder gennem en reverse-proxy (som de sikkert allerede har opsat).

Det er i hvert fald det jeg kommet til at gøre på de næste projekter der søsættes. Men selvfølgelig, dem der har et webhotel til 10kr./md. har jo ikke kompetancer/adgang til serveren/firewall (port443).

  • more_vert
    • insert_linkKopier link
1
Flemming Jacobsen
14. oktober 2016 kl. 10:40

Drop de dyre og ringe certifikat udbydere.

Få et nyt certifikat her, gratis.https://letsencrypt.org/

Det er super nemt at automatisere opdatering af certifikatet.

  • more_vert
    • insert_linkKopier link