Let's Encrypt отозвал 3 млн сертификатов из-за бага проверки CAA-полей

Let's Encrypt отозвал 3 млн сертификатов из-за бага проверки CAA-полей

Let's Encrypt отозвал 3 млн сертификатов из-за бага проверки CAA-полей

Центр сертификации Let's Encrypt вынужден отозвать более 3 миллионов TLS-сертификатов из-за бага, обнаруженного в бэкенд-коде. Как сообщили представители Let's Encrypt, проблема нашлась в серверном софте Boulder.

Как известно, Let's Encrypt использует Boulder для верификации пользователей и их доменов перед тем, как выдать TLS-сертификат.

Выявленный баг затрагивал имплементацию стандарта безопасности CAA (Certificate Authority Authorization) в Boulder. CAA позволяет владельцам доменов обозначить только те центры сертификации, которые перечислены в специальном поле.

Все центры вроде Let's Encrypt должны строго следовать спецификации CAA по закону, в противном случае могут последовать санкции со стороны разработчиков браузеров.

Согласно опубликованной на форуме информации, из-за бага Boulder игнорировал проверку CAA. Команда Let's Encrypt уже устранила проблему, и теперь поля CAA обрабатываются корректно.

Компания считает, что никто не успел воспользоваться этим багом. И тем не менее центр решил отозвать все сертификаты, выданные с некорректными поверками CAA.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минцифры и Роскомнадзор обсуждают ограничения на голосовые вызовы

Регуляторы обсуждают возможность полного или частичного (для трансграничного трафика) запрета на возможность проведения звонков через мессенджеры. Причина — активное использование данного канала мошенниками.

На мошеннические вызовы приходится до 40% голосового трафика в мессенджерах.

Об обсуждении таких ограничений на уровне Минцифры и Роскомнадзора сообщили источники «Коммерсанта» в телекоммуникационной отрасли. Рассматриваются два сценария: полный запрет и блокировка трансграничных звонков.

По оценкам «Мегафона», доля мошеннических звонков в мессенджерах достигает 40%. Три года назад она не превышала 1%. Пресс-служба оператора в ответ на запрос «Коммерсанта» отметила, что операторы не имеют технических средств, позволяющих анализировать звонки в мессенджерах и определить, из какой страны они поступают.

Еще в октябре руководитель Роскомнадзора Андрей Липов на форуме «Спектр» допускал возможность блокировки голосовых звонков в мессенджерах. Все технические возможности, по его словам, для этого у ведомства имеются.

Как прокомментировал изданию заместитель генерального директора группы компаний «Гарда» Рустэм Хайретдинов, голосовой трафик имеет характерные признаки и его может выявлять и блокировать любая система класса DPI.

К ним относятся Технические системы противодействия угрозам (ТСПУ), которые Роскомнадзор устанавливает в сетях операторов связи.

В Минцифры изданию заявили, что не разрабатывают никаких нормативных документов, направленных на ограничение использования мессенджеров.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru