О сертификатах Let's Encrypt и Tilda01.11.2021 21:16

35e50e4ca9f62e777f92a71d2590948b

Предыстория

Одним недавним летним вечером коротал я время за выпуском сертификатов Let’s Encrypt (LE) в кубере, и долго не мог понять с какого перепугу сработало ограничение на количество сертификатов в неделю, т.е. 50 штук.

Быстрая проверка на https://crt.sh/ показала, что действительно для совершенно разных поддоменов было выпущено много ненужных сертификатов, и это, мягко говоря, удивило.

Разбор полетов

Конечно, сразу были написаны письма DNS-хостеру по аудиту работы с зоной через личный кабинет и API (ну вдруг утек ключ). В ответном отчете никаких подозрительных действий выявлено не было, и это дало основания полагать, что для выпуска сертификатов использовалась проверка HTTP-01. Также косвенно на это указывало и то, что сертификаты были выпущены для самого поддомена и дополнительно c «www.», wildcard-сертификатов выпущено не было ни одного, а для этого нужна проверка DNS-01.

Важно отметить, что для исходного домена, назовем его example.com, в DNS прописана wildcard-запись *.example.com IN CNAME example.com на основной сайт, который хостится на популярном конструкторе сайтов Tilda. И самое интересное, что выпуск странных сертификатов LE начался практически на следующий день сразу после смены IP-адреса хостинга на 185.215.4.10, как это было настойчиво предложено в панели управления.

Полчаса изысканий вместе с HostHunter, iptodomain, bash и crt.sh выявило также существование других сайтов с wildcard-записями в DNS на 185.215.4.10, у которых выпущены довольно подозрительные сертификаты. Домены тут перечислять не буду, интересующиеся легко могут проверить сами.

Tilda

К сожалению, моя трехдневная переписка со службой поддержки Tilda и попытка протолкнуть вопрос на следующий уровень не увенчались успехом, и на просьбу проверить наличие подозрительного ПО за IP-адресом 185.215.4.10 был получен четкий ответ: «Вредоносного ПО нет».

Не буду подвергать сомнению компетентность службы поддержки, но у меня сложилось впечатление, что все мои попытки объяснить возможный сценарий выпуска сертификата LE, используя проверку HTTP-01, при наличии wildcard-записи в DNS на 185.215.4.10, были, как минимум, проигнорированы.

Я не большой эксперт в компьютерной безопасности, поэтому не вижу уж очень больших рисков в выпуске кучки «левых» сертификатов LE для поддоменов, но, осадочек в виде одной недели, когда выпустить понадобившийся сертификат было невозможно, остался.

Вывод

Понятно, что wildcard-запись в DNS на сторонний хостинг сама по себе уже довольно притягательный способ для мухлевания с сертификатами LE, но если уж она есть, и ведет на Tilda (185.215.4.10), то рекомендую один из вариантов:

  1. Удалите ее

  2. Смените A-записи на предыдущие IP-адреса Tilda

P.S. Кстати, именно после возврата на предыдущий IP хостинга Tilda, выпуск подобных сертификатов пока прекратился.

© Habrahabr.ru