01.11.2021 21:02
waster2008 4 9100 Источник

Предыстория

Одним недавним летним вечером коротал я время за выпуском сертификатов Let's Encrypt (LE) в кубере, и долго не мог понять с какого перепугу сработало ограничение на количество сертификатов в неделю, т.е. 50 штук.

Быстрая проверка на https://crt.sh/ показала, что действительно для совершенно разных поддоменов было выпущено много ненужных сертификатов, и это, мягко говоря, удивило.

Разбор полетов

Конечно, сразу были написаны письма DNS-хостеру по аудиту работы с зоной через личный кабинет и API (ну вдруг утек ключ). В ответном отчете никаких подозрительных действий выявлено не было, и это дало основания полагать, что для выпуска сертификатов использовалась проверка HTTP-01. Также косвенно на это указывало и то, что сертификаты были выпущены для самого поддомена и дополнительно c "www.", wildcard-сертификатов выпущено не было ни одного, а для этого нужна проверка DNS-01.

Важно отметить, что для исходного домена, назовем его example.com, в DNS прописана wildcard-запись *.example.com IN CNAME example.com на основной сайт, который хостится на популярном конструкторе сайтов Tilda. И самое интересное, что выпуск странных сертификатов LE начался практически на следующий день сразу после смены IP-адреса хостинга на 185.215.4.10, как это было настойчиво предложено в панели управления.

Полчаса изысканий вместе с HostHunter, iptodomain, bash и crt.sh выявило также существование других сайтов с wildcard-записями в DNS на 185.215.4.10, у которых выпущены довольно подозрительные сертификаты. Домены тут перечислять не буду, интересующиеся легко могут проверить сами.

Tilda

К сожалению, моя трехдневная переписка со службой поддержки Tilda и попытка протолкнуть вопрос на следующий уровень не увенчались успехом, и на просьбу проверить наличие подозрительного ПО за IP-адресом 185.215.4.10 был получен четкий ответ: "Вредоносного ПО нет".

Не буду подвергать сомнению компетентность службы поддержки, но у меня сложилось впечатление, что все мои попытки объяснить возможный сценарий выпуска сертификата LE, используя проверку HTTP-01, при наличии wildcard-записи в DNS на 185.215.4.10, были, как минимум, проигнорированы.

Я не большой эксперт в компьютерной безопасности, поэтому не вижу уж очень больших рисков в выпуске кучки "левых" сертификатов LE для поддоменов, но, осадочек в виде одной недели, когда выпустить понадобившийся сертификат было невозможно, остался.

Вывод

Понятно, что wildcard-запись в DNS на сторонний хостинг сама по себе уже довольно притягательный способ для мухлевания с сертификатами LE, но если уж она есть, и ведет на Tilda (185.215.4.10), то рекомендую один из вариантов:

  1. Удалите ее

  2. Смените A-записи на предыдущие IP-адреса Tilda

P.S. Кстати, именно после возврата на предыдущий IP хостинга Tilda, выпуск подобных сертификатов пока прекратился.

UPD 02.11.2021. После публикации техническая поддержка Tilda быстро отреагировала персональным письмом (не очень понимаю, почему нельзя было сразу внести ясность), где обещали отдельно выделить жирным недопустимость использования wildcard-записей при использовании хостинга Tilda по причине, аналогичной указанной в комментарии от AEP. Видимо, использование wildcard-записей считается плохой практикой.

Комментарии (4)


  1. hellamps
    02.11.2021 01:10
    #23656632

    возможно есть такие коекакеры, что смотрят какой айпи они шарят и сверяют с вайлдкартами в днсах, для использования в дальнейшем, для фишинга, например.


  1. AEP
    02.11.2021 03:17
    #23656856
    +6

    Думаю, что никакого взлома не было.

    Некоторые HTTPS-серверы (типа Caddy с настройками по умолчанию, или Apache с mod_md) умеют сами себе на лету выписывать сертификат через Let's Encrypt, используя при этом домен из входящего заголовка Host. Если IP-адрес такого сервера привязать к wildcard-записи в DNS, то любой словарный перебор поддоменов (а таким занимаются, скажем, сервисы "безопасности" типа Security Scorecard) приведет к выписыванию кучи ненужных сертификатов.

    Похоже, что автор наступил ровно на эти грабли.


    1. waster2008 Автор
      02.11.2021 09:12
      #23657246

      Согласен, такой сценарий тоже возможен. Но я в этом случае очень сильно сомневаюсь в целесообразности включения подобной настройки по умолчанию на виртуальном хостинге. Получаем вредный побочный эффект.


      1. druidm
        02.11.2021 11:27
        #23657862
        +1

        Выше правильно написали.
        Если не указывать wildcard-записи - то никакого побочного эффекта нет.

        В инструкции Тильды по подключению домена нет ни слова про wildcard-записи и что их можно использовать.

        В Вашем посте - только один совет является верным - нужно удалить wildcard запись и будет счастье. Смена ip-адреса не решит всех возможных побочных эффектов.