Git.git.git.git... y aún más git: en la red proliferan direcciones con decenas de niveles. ¿Qué riesgo supone para la web?
Let's Encrypt limitará la emisión de certificados para dominios extremadamente largos ante el fuerte aumento del tráfico de spam.
Los certificados de seguridad empezaron a aparecer de repente para dominios extraños como update.update.update.update.update.update.update.update.example.com. Nadie había registrado esas direcciones ni tenía intención de poner en línea sitios con esos nombres. Sin embargo, los servidores solicitaban certificados para ellos de forma continua, sobrecargando la infraestructura de la autoridad certificadora.
El personal de Let's Encrypt informó sobre un fuerte aumento de solicitudes de emisión de certificados para nombres de dominio muy largos, compuestos por diez o más niveles. Según la empresa, la causa radica en mecanismos automáticos de obtención de certificados junto con exploraciones masivas de Internet.
El problema afecta a servidores que utilizan la emisión automática de certificados en cada nueva petición por el protocolo de conexión segura. Si el cliente, al establecer la conexión segura, indica un nombre de host para el que el servidor no tiene certificado, el servidor solicita a la autoridad certificadora uno nuevo. Ese mecanismo lo usan, en particular, los usuarios del servidor Caddy con la función On-Demand TLS y la biblioteca golang.org/x/crypto/acme/autocert.
El escenario es así. Los analistas de Internet escanean los registros de transparencia de certificados, extraen de ellos los nombres de dominio y envían peticiones a esas direcciones, añadiendo subdominios «interesantes» como update o git. El servidor, al recibir tal petición, solicita automáticamente un certificado para el nuevo nombre. El nuevo dominio entra en los registros de transparencia, luego los escáneres repiten el procedimiento añadiendo otro nivel. Como resultado aparecen cadenas como git.git.git.git.git.example.com. Las peticiones crean un ciclo cerrado, y se emiten certificados para direcciones que nadie piensa usar.
Para la autoridad certificadora tal actividad supone una carga adicional. Los recursos se destinan a emitir certificados para dominios sin sentido en lugar de atender sitios reales.
Let's Encrypt tiene previsto en las próximas semanas implementar mecanismos adicionales de filtrado. El sistema bloqueará peticiones sospechosas, por ejemplo las que contengan niveles de dominio repetidos e idénticos de una lista determinada. Ante un gran número de solicitudes similares, la empresa puede suspender temporalmente la cuenta.
Los desarrolladores aconsejan a los administradores de servidores desactivar la emisión automática de certificados «a demanda» o restringir estrictamente la lista de subdominios permitidos. En el caso de Caddy es necesario configurar una verificación específica que autorice la emisión del certificado solo para nombres aprobados de antemano. A los usuarios de autocert se les recomienda aplicar una política que permita la emisión de certificados únicamente para un conjunto concreto de subdominios.
Si un sitio atiende muchos subdominios, la empresa propone usar certificados comodín que cubren todos los subdominios de un mismo nivel. Ese enfoque reduce la carga y acelera el funcionamiento del sitio, pues los visitantes no tendrán que esperar a que se emita un nuevo certificado al acceder a cada nueva dirección.