Git.git.git.git.git... И еще немного git. В сети начали массово появляться адреса с десятками уровней. Чем это грозит вебу?
NewsMakerLet's Encrypt ограничит выпуск сертификатов для сверхдлинных доменов из-за резкого роста мусорного трафика.
Сертификаты безопасности вдруг начали появляться для странных доменов вроде update.update.update.update.update.update.update.update.example.com. Никто не регистрировал такие адреса и не собирался запускать сайты с подобными именами. Однако серверы исправно запрашивали для них сертификаты, нагружая инфраструктуру центра сертификации.
Сотрудники Let's Encrypt сообщили о резком росте заявок на выпуск сертификатов для очень длинных доменных имён, состоящих из десяти и более уровней. По данным компании, причина кроется в автоматических механизмах получения сертификатов в связке с массовым сканированием интернета.
Проблема затрагивает серверы, которые используют автоматическую выдачу сертификатов при каждом новом запросе по протоколу защищённого соединения. Если клиент во время установки защищённого соединения указывает имя хоста, для которого на сервере нет сертификата, сервер сам обращается в центр сертификации и получает новый. Такой механизм применяют, в частности, пользователи сервера Caddy с функцией On-Demand TLS и библиотеки golang.org/x/crypto/acme/autocert.
Сценарий выглядит так. Специалисты по анализу интернета сканируют журналы прозрачности сертификатов , извлекают из них доменные имена и отправляют запросы к этим адресам, добавляя к ним «интересные» поддомены вроде update или git. Сервер, получив такой запрос, автоматически заказывает сертификат для нового имени. Новый домен попадает в журналы прозрачности, затем сканеры повторяют процедуру, добавляя ещё один уровень. В результате появляются цепочки вроде git.git.git.git.git.example.com. Запросы создают замкнутый цикл, а сертификаты выпускаются для адресов, которые никто не собирается использовать.
Сертификаты безопасности вдруг начали появляться для странных доменов вроде update.update.update.update.update.update.update.update.example.com. Никто не регистрировал такие адреса и не собирался запускать сайты с подобными именами. Однако серверы исправно запрашивали для них сертификаты, нагружая инфраструктуру центра сертификации.
Сотрудники Let's Encrypt сообщили о резком росте заявок на выпуск сертификатов для очень длинных доменных имён, состоящих из десяти и более уровней. По данным компании, причина кроется в автоматических механизмах получения сертификатов в связке с массовым сканированием интернета.
Проблема затрагивает серверы, которые используют автоматическую выдачу сертификатов при каждом новом запросе по протоколу защищённого соединения. Если клиент во время установки защищённого соединения указывает имя хоста, для которого на сервере нет сертификата, сервер сам обращается в центр сертификации и получает новый. Такой механизм применяют, в частности, пользователи сервера Caddy с функцией On-Demand TLS и библиотеки golang.org/x/crypto/acme/autocert.
Сценарий выглядит так. Специалисты по анализу интернета сканируют журналы прозрачности сертификатов , извлекают из них доменные имена и отправляют запросы к этим адресам, добавляя к ним «интересные» поддомены вроде update или git. Сервер, получив такой запрос, автоматически заказывает сертификат для нового имени. Новый домен попадает в журналы прозрачности, затем сканеры повторяют процедуру, добавляя ещё один уровень. В результате появляются цепочки вроде git.git.git.git.git.example.com. Запросы создают замкнутый цикл, а сертификаты выпускаются для адресов, которые никто не собирается использовать.