Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Предыстория
Одним недавним летним вечером коротал я время за выпуском сертификатов Let's Encrypt (LE) в кубере, и долго не мог понять с какого перепугу сработало ограничение на количество сертификатов в неделю, т.е. 50 штук.
Быстрая проверка на https://crt.sh/ показала, что действительно для совершенно разных поддоменов было выпущено много ненужных сертификатов, и это, мягко говоря, удивило.
Разбор полетов
Конечно, сразу были написаны письма DNS-хостеру по аудиту работы с зоной через личный кабинет и API (ну вдруг утек ключ). В ответном отчете никаких подозрительных действий выявлено не было, и это дало основания полагать, что для выпуска сертификатов использовалась проверка HTTP-01. Также косвенно на это указывало и то, что сертификаты были выпущены для самого поддомена и дополнительно c "www.", wildcard-сертификатов выпущено не было ни одного, а для этого нужна проверка DNS-01.
Важно отметить, что для исходного домена, назовем его example.com, в DNS прописана wildcard-запись *.example.com IN CNAME example.com на основной сайт, который хостится на популярном конструкторе сайтов Tilda. И самое интересное, что выпуск странных сертификатов LE начался практически на следующий день сразу после смены IP-адреса хостинга на 185.215.4.10, как это было настойчиво предложено в панели управления.
Полчаса изысканий вместе с HostHunter, iptodomain, bash и crt.sh выявило также существование других сайтов с wildcard-записями в DNS на 185.215.4.10, у которых выпущены довольно подозрительные сертификаты. Домены тут перечислять не буду, интересующиеся легко могут проверить сами.
Tilda
К сожалению, моя трехдневная переписка со службой поддержки Tilda и попытка протолкнуть вопрос на следующий уровень не увенчались успехом, и на просьбу проверить наличие подозрительного ПО за IP-адресом 185.215.4.10 был получен четкий ответ: "Вредоносного ПО нет".
Не буду подвергать сомнению компетентность службы поддержки, но у меня сложилось впечатление, что все мои попытки объяснить возможный сценарий выпуска сертификата LE, используя проверку HTTP-01, при наличии wildcard-записи в DNS на 185.215.4.10, были, как минимум, проигнорированы.
Я не большой эксперт в компьютерной безопасности, поэтому не вижу уж очень больших рисков в выпуске кучки "левых" сертификатов LE для поддоменов, но, осадочек в виде одной недели, когда выпустить понадобившийся сертификат было невозможно, остался.
Вывод
Понятно, что wildcard-запись в DNS на сторонний хостинг сама по себе уже довольно притягательный способ для мухлевания с сертификатами LE, но если уж она есть, и ведет на Tilda (185.215.4.10), то рекомендую один из вариантов:
Удалите ее
Смените A-записи на предыдущие IP-адреса Tilda
P.S. Кстати, именно после возврата на предыдущий IP хостинга Tilda, выпуск подобных сертификатов пока прекратился.
