GlobalSign: Sådan fixer du problemer efter certifikatbommert

Efter misèren med et certifikat der utilsigtet blev tilbagekaldt med øjeblikkelig varsel, forsøger GlobalSign at hjælpe kunder og brugere.

Har du pt. problemet med at tilgå websites pga. certifikatspærring, så kan det skyldes en fejl fra certifikatleverandøren GlobalSign, som ved en fejl kom til at tilbagekalde et certifikat med øjeblikkelig varsel, hvor det skulle have haft en uges levetid mere.

Fejlen er rettet, men kan overleve i din cache. Du kan cleare din cache ved at følge denne vejledning.

Er du kunde hos GlobalSign kan du installere et certifikat fra en alternativ udbyder med samme udbredelse, og som ikke var ramt af fejlen. Se vejledningen her

Version2 skrev i går, at flere danske websites er eller har været helt eller delvist utilgængelige for brugerne som følge af en fejl fra udbyderen af rodcertifikater, GlobalSign.

Bl.a. dr.dk, Sparekassen Kronjylland og ifølge en Version2-kilde også Skat.dk ramt.

Læs historien her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Morten Hartvig

Præcis!

Kan ikke forstå, at alle de store webhoteller i danmark ikke tilbyder gennem en reverse-proxy (som de sikkert allerede har opsat).

Det er i hvert fald det jeg kommet til at gøre på de næste projekter der søsættes. Men selvfølgelig, dem der har et webhotel til 10kr./md. har jo ikke kompetancer/adgang til serveren/firewall (port443).

  • 0
  • 0
#4 Nikolaj Steffensen

Flemming Jacobsen: Det budskab er lidt malplaceret her. Fejlen der er sket hos GlobalSign er, at man ved en fejl har revoked et intermediate-certifikat. Der er tale om en menneskelig fejl - og den kunne ligeså godt ske hos IdenTrust, som danner root CA for Let's Encrypt.

Selvom CA'en har reageret hurtigt, så er skaden sket - for CRL/OCSP bliver cached over det hele og pga. disse caches er der op til 4 dage før TTL er udløbet alle steder.

Jeg ved ikke om LE certifikater er cross signed, men heldigvis gør GlobalSign så de har kunnet issue nye intermediates deres kunder kunne bruge fra en anden CA.

Morten Hartvig: What? Reverse proxy? Hvad snakker du egentlig om? TLS kan fint termineres på webserverne.

Adskillige af de store webhoteller i Danmark tilbyder Let's Encrypt eller anden gratis SSL - også dem til 10 kr/md, så er ikke helt med på hvor dine fakta stammer fra.

  • 3
  • 0
#5 Flemming Jacobsen

@Nikolaj: Ja, selvfølgelig kunne fejlen være sket hos Let's Encrypt. Min pointe er "Hvorfor betale dyrt for et produkt der ikke leveres professionelt, når man kan få samme kvalitet gratis?"

Og i praksis tror jeg faktisk at kvaliteten fra Let's Encrypt er højere end for de fleste CA, fordi Let's Encrypt ikke har et krav om at tjene penge (med tilsvarende press på billig bemanding og deraf følgende skills), men istedet køres af interesserede der vil vise en pointe.

  • 0
  • 0
#6 Nikolaj Steffensen

Det er ikke helt korrekt, at nogen driver det for at vise en pointe - det drives af højt betalte folk: https://letsencrypt.org/2016/09/20/what-it-costs-to-run-lets-encrypt.html

Der bliver brugt 2 millioner dollars om året på aflønning af ganske få personer. Det er en non-profit ja, men det bliver ikke drevet af nørder der bare vil vise at det kan gøres gratis. Det drives med penge fra donationer.

Man kan jo mene om CA'erne hvad man vil, men de er allesammen underlagt en masse krav fra CA/Browser Forum - og de skal overholdes uanset om man er stor og tjener penge eller om man er non-profit. De folk der sidder med snitterne i maskinen hos samtlige CA'er er formentlig dygtige folk, som ved en ting eller to. Men vi har vel alle prøvet at lave en fat-finger i vores karierre, hvor vi har fucket et eller andet op, som vi så har fixet i løbet af kort tid igen.

Samme er sket her - problemet er bare, at fejlen er sket i noget der caches ekstremt heavy på edge noder i hele verden og derfor er det ikke sårn bare lige at invalidere de caches igen.

Jeg er i øvrigt overhovedet ikke fan af GlobalSign. Jeg er stor tilhænger af LE, men jeg pointerer bare at fejl sker - og selvom det så var rene entusiaster der drev LE, så ville sådan en fejl også kunne ske dér :)

Sidste tilføjelse, så har CA'erne på DV kun den berettigelse at man kan købe mere end 3 måneder ad gangen. På diverse devices hvor LE ikke er indbygget og som måske ikke kan lytte på HTTP osv. osv. kan man hurtigt blive gråhåret over at skulle udstede et LE cert.

På EV har CA'erne deres berettigelse, for nogen skal jo lave det arbejde, hvis man vil have sådan et produkt. Og valideringen af organisationer giver al mulig mening, for scammers er efterhånden også begyndt at bruge DV SSL.

  • 2
  • 0
#8 Jesper Kristensen

Ifølge GlobalSigns incident report var problemet at deres OCSP software havde en bug, så da de tilbagekaldte et certifikat, genererede softwaren tilbagekaldelser for alle certifikater der havde en række attributter til fælles med det tilbagekaldte certifikat.

Ville man som GlogalSign-kunde ikke kunne have undgået problemet, ved at implementere OCSP Stapling? (og gjort det rigtigt, https://gist.github.com/sleevi/5efe9ef98961ecfb4da8 ) Derved kunne man selv sikre at det tilbagetrukne OCSP-svar blev filtreret fra.

  • 0
  • 0
Log ind eller Opret konto for at kommentere