О сертификатах Let's Encrypt и Tilda

Kate

Administrator
Команда форума

Предыстория​

Одним недавним летним вечером коротал я время за выпуском сертификатов Let's Encrypt (LE) в кубере, и долго не мог понять с какого перепугу сработало ограничение на количество сертификатов в неделю, т.е. 50 штук.

Быстрая проверка на https://crt.sh/ показала, что действительно для совершенно разных поддоменов было выпущено много ненужных сертификатов, и это, мягко говоря, удивило.

Разбор полетов​

Конечно, сразу были написаны письма DNS-хостеру по аудиту работы с зоной через личный кабинет и API (ну вдруг утек ключ). В ответном отчете никаких подозрительных действий выявлено не было, и это дало основания полагать, что для выпуска сертификатов использовалась проверка HTTP-01. Также косвенно на это указывало и то, что сертификаты были выпущены для самого поддомена и дополнительно c "www.", wildcard-сертификатов выпущено не было ни одного, а для этого нужна проверка DNS-01.

Важно отметить, что для исходного домена, назовем его example.com, в DNS прописана wildcard-запись *.example.com IN CNAME example.com на основной сайт, который хостится на популярном конструкторе сайтов Tilda. И самое интересное, что выпуск странных сертификатов LE начался практически на следующий день сразу после смены IP-адреса хостинга на 185.215.4.10, как это было настойчиво предложено в панели управления.

Полчаса изысканий вместе с HostHunter, iptodomain, bash и crt.sh выявило также существование других сайтов с wildcard-записями в DNS на 185.215.4.10, у которых выпущены довольно подозрительные сертификаты. Домены тут перечислять не буду, интересующиеся легко могут проверить сами.

Tilda​

К сожалению, моя трехдневная переписка со службой поддержки Tilda и попытка протолкнуть вопрос на следующий уровень не увенчались успехом, и на просьбу проверить наличие подозрительного ПО за IP-адресом 185.215.4.10 был получен четкий ответ: "Вредоносного ПО нет".

Не буду подвергать сомнению компетентность службы поддержки, но у меня сложилось впечатление, что все мои попытки объяснить возможный сценарий выпуска сертификата LE, используя проверку HTTP-01, при наличии wildcard-записи в DNS на 185.215.4.10, были, как минимум, проигнорированы.

Я не большой эксперт в компьютерной безопасности, поэтому не вижу уж очень больших рисков в выпуске кучки "левых" сертификатов LE для поддоменов, но, осадочек в виде одной недели, когда выпустить понадобившийся сертификат было невозможно, остался.

Вывод​

Понятно, что wildcard-запись в DNS на сторонний хостинг сама по себе уже довольно притягательный способ для мухлевания с сертификатами LE, но если уж она есть, и ведет на Tilda (185.215.4.10), то рекомендую один из вариантов:

  1. Удалите ее
  2. Смените A-записи на предыдущие IP-адреса Tilda
P.S. Кстати, именно после возврата на предыдущий IP хостинга Tilda, выпуск подобных сертификатов пока прекратился.

UPD 02.11.2021. После публикации техническая поддержка Tilda быстро отреагировала персональным письмом (не очень понимаю, почему нельзя было сразу внести ясность), где обещали отдельно выделить жирным недопустимость использования wildcard-записей при использовании хостинга Tilda по причине, аналогичной указанной в комментарии от AEP. Видимо, использование wildcard-записей считается плохой практикой.

 
Сверху