Узнать правду
Image

Наука безумнее, чем фантастика

Мы нашли ответы на вопросы, о которых вы даже не задумывались. Факты, которые заставят ваш мозг работать на 101%.

Git.git.git.git.git... И еще немного git. В сети начали массово появляться адреса с десятками уровней. Чем это грозит вебу?

leer en español

Let's Encrypt домен сертификат интернет
Git.git.git.git.git... И еще немного git. В сети начали массово появляться адреса с десятками уровней. Чем это грозит вебу?
Let's Encrypt домен сертификат интернет

Let's Encrypt ограничит выпуск сертификатов для сверхдлинных доменов из-за резкого роста мусорного трафика.

image

Сертификаты безопасности вдруг начали появляться для странных доменов вроде update.update.update.update.update.update.update.update.example.com. Никто не регистрировал такие адреса и не собирался запускать сайты с подобными именами. Однако серверы исправно запрашивали для них сертификаты, нагружая инфраструктуру центра сертификации.

Сотрудники Let's Encrypt сообщили о резком росте заявок на выпуск сертификатов для очень длинных доменных имён, состоящих из десяти и более уровней. По данным компании, причина кроется в автоматических механизмах получения сертификатов в связке с массовым сканированием интернета.

Проблема затрагивает серверы, которые используют автоматическую выдачу сертификатов при каждом новом запросе по протоколу защищённого соединения. Если клиент во время установки защищённого соединения указывает имя хоста, для которого на сервере нет сертификата, сервер сам обращается в центр сертификации и получает новый. Такой механизм применяют, в частности, пользователи сервера Caddy с функцией On-Demand TLS и библиотеки golang.org/x/crypto/acme/autocert.

Сценарий выглядит так. Специалисты по анализу интернета сканируют журналы прозрачности сертификатов, извлекают из них доменные имена и отправляют запросы к этим адресам, добавляя к ним «интересные» поддомены вроде update или git. Сервер, получив такой запрос, автоматически заказывает сертификат для нового имени. Новый домен попадает в журналы прозрачности, затем сканеры повторяют процедуру, добавляя ещё один уровень. В результате появляются цепочки вроде git.git.git.git.git.example.com. Запросы создают замкнутый цикл, а сертификаты выпускаются для адресов, которые никто не собирается использовать.

Для центра сертификации такая активность означает лишнюю нагрузку. Ресурсы уходят на выпуск сертификатов для бессмысленных доменов вместо обслуживания реальных сайтов.

В Let's Encrypt намерены в ближайшие недели внедрить дополнительные механизмы фильтрации. Система будет блокировать подозрительные запросы, например содержащие повторяющиеся одинаковые уровни домена из определённого списка. При большом количестве подобных заявок компания может временно приостановить учётную запись.

Разработчики советуют владельцам серверов отключить автоматическую выдачу сертификатов «по требованию» или жёстко ограничить список допустимых поддоменов. В случае с Caddy необходимо настроить специальную проверку, которая разрешает выпуск сертификата только для заранее утверждённых имён. Пользователям autocert рекомендуют применять политику, разрешающую выпуск сертификатов лишь для конкретного набора поддоменов.

Если сайт обслуживает множество поддоменов, компания предлагает использовать групповые сертификаты с маской, которые покрывают все поддомены одного уровня. Такой подход снижает нагрузку и ускоряет работу сайта, поскольку посетителям не придётся ждать выпуска нового сертификата при обращении к каждому новому адресу.