まだ TLS-SNI-01 を使用している場合は使用を中止してください。あるミスにより悪意のある人物が自分の所有していないドメインの Let's Encrypt 証明書を主張できた 1 年後、この無料認証局は、関係するプロトコルの最終的な廃止を発表しました。
2018年1月、Let's EncryptはTLS-SNI-01およびその後継予定のTLS-SNI-02に基づく検証が悪用される可能性があることを発見しました。当時、私たちは次のように説明しました。「ある企業が investors.techcorp.com を設定し、コンテンツ配信のためにクラウドベースのウェブホストにリンクしているものの、investor.techcorp.com にはリンクしていない可能性があります。攻撃者は、そのクラウドプロバイダーにアカウントを作成し、investor.techcorp.com用のHTTPSサーバーをそのアカウントに追加することで、その企業になりすます可能性があります。しかも、TLS-SNI-01経由でLet's EncryptのHTTPS証明書も使用することで、完全に合法的な企業であるように見せかけることができます。」
Let's Encrypt は、悪意のある人物が他人のドメインの HTTPS ウェブ証明書を盗むことができるセキュリティホールを塞ぐ
続きを読む
TLSプロトコルのSNI拡張は、サーバーが提示する名前を検証することを目的としています。これは、単一のIPアドレスで多数のウェブサイトにサービスを提供している場合に特に重要です。昨年指摘したように、ホスティングプロバイダーがドメインの所有権を検証していない場合、悪用される可能性があります。
Let's Encryptは当時、新規アカウントに対してTLS-SNI-01をブロックする対応を取りました。ただし、既に発行されている証明書については引き続きサポートすることを決定しました。
同団体は、それが2019年2月13日に終了することを確認した。
ブログ投稿の中で、インターネット セキュリティ リサーチ グループのエグゼクティブ ディレクターである Josh Aas 氏は、TLS-SNI をまだ使用している場合は、検証メカニズムとして DNS-01 と HTTP-01 に切り替える必要があると説明しました。
「ご不便をおかけして申し訳ございませんが、Web PKI の整合性を保つためにこれが正しい対応だと信じています」と Aas 氏は締めくくりました。®
