Η Let’s Encrypt τερματίζει τα email λήξης πιστοποιητικών
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η Let's Encrypt τερματίζει τα email λήξης πιστοποιητικών
https://www.secnews.gr/652410/lets-encrypt-termatizei-email-liksis-pistopoihtikon/
Jun 30th 2025, 10:11
by Absenta Mia
Η Let's Encrypt ανακοίνωσε ότι δεν θα αποστέλλει πλέον ειδοποιήσεις μέσω email για επικείμενες λήξεις πιστοποιητικών, λόγω του υψηλού κόστους, θεμάτων απορρήτου και της περιττής πολυπλοκότητας που συνεπάγονται αυτές οι ειδοποιήσεις.
Δείτε επίσης: Χάκερ έκλεψε 1 εκατ. αρχεία χρηστών του Cock.li σε παραβίαση webmail
Η απόφαση για τον τερματισμό της υπηρεσίας αποστολής email ειδοποιήσεων, εφαρμόστηκε από τις 4 Ιουνίου 2025, ωστόσο η Let's Encrypt την κοινοποίησε τώρα μέσω σχετικής ανάρτησης στο blog της, προκειμένου να ευαισθητοποιήσει τους χρήστες και να αποτρέψει τυχόν απρόσμενες διακοπές λειτουργίας.
Η Let's Encrypt είναι μια μη κερδοσκοπική Αρχή Πιστοποίησης (CA), που προσφέρει δωρεάν, αυτοματοποιημένα και ανοιχτά ψηφιακά πιστοποιητικά για την ενεργοποίηση του HTTPS (SSL/TLS) σε ιστοσελίδες. Από άποψη μεγέθους, συγκαταλέγεται στις μεγαλύτερες Αρχές Πιστοποίησης παγκοσμίως, έχοντας εκδώσει εκατοντάδες εκατομμύρια πιστοποιητικά σε δισεκατομμύρια ιστοσελίδες.
Η Let's Encrypt λειτουργεί με διαφάνεια και έχει περιορίσει στο ελάχιστο την αποθήκευση δεδομένων όπου είναι εφικτό. Το root πιστοποιητικό της περιλαμβάνεται στα αποθετήρια εμπιστοσύνης όλων των μεγάλων προγραμμάτων περιήγησης και λειτουργικών συστημάτων, ενώ υποστηρίζεται από κορυφαίες τεχνολογικές εταιρείες όπως οι Google, Cisco, Mozilla, EFF, Facebook και Akamai.
Ο οργανισμός χρησιμοποιεί ένα αυτοματοποιημένο πρωτόκολλο με την ονομασία ACME (Automatic Certificate Management Environment), το οποίο επιτρέπει στις ιστοσελίδες και στο λογισμικό διακομιστών να αυτοματοποιούν την έκδοση, εγκατάσταση και ανανέωση πιστοποιητικών με ελάχιστη ή και καθόλου ανθρώπινη παρέμβαση.
Σύμφωνα με την πρόσφατη ανακοίνωση, η ύπαρξη αυτής της αυτοματοποίησης αποτελεί τον κύριο λόγο για την κατάργηση της υπηρεσίας ειδοποιήσεων μέσω email, καθώς η αναγκαιότητά της μειώνεται συνεχώς.
Δείτε ακόμα: Marks & Spencer: Οι hackers έστειλαν απειλητικό email στον CEO
Η υιοθέτηση λύσεων αυτόματης ανανέωσης έχει επιταχυνθεί περαιτέρω από αλλαγές στα πρότυπα, όπως η πρόσφατη ανακοίνωση του CA/Browser Forum για τη μείωση της διάρκειας ζωής των πιστοποιητικών σε 47 ημέρες έως το 2029.
Αυτή η απόφαση καθιστά τη χειροκίνητη διαχείριση ανέφικτη ή τουλάχιστον μη πρακτική, ενισχύοντας έτσι την ανάγκη για αυτοματοποίηση προκειμένου να διατηρείται η συμμόρφωση και να αποφεύγονται διακοπές λειτουργίας. Ένας δεύτερος βασικός λόγος για την κατάργηση της υπηρεσίας email είναι το κόστος λειτουργίας της, το οποίο η Let's Encrypt εκτιμά σε «δεκάδες χιλιάδες δολάρια ετησίως». Ο οργανισμός θεωρεί ότι αυτά τα χρήματα μπορούν να αξιοποιηθούν πολύ πιο αποτελεσματικά σε άλλους τομείς της υποδομής του, η οποία επιβαρύνεται άσκοπα από τις δραστηριότητες διανομής email.
Τέλος, ο οργανισμός εκφράζει ανησυχίες σχετικά με την προστασία των προσωπικών δεδομένων των χρηστών, καθώς η διατήρηση, διαχείριση και ασφάλεια μιας μεγάλης βάσης δεδομένων με διευθύνσεις email που σχετίζονται με αρχεία έκδοσης πιστοποιητικών αποτελεί επιπλέον επιβάρυνση και ευθύνη.
Το βασικό μήνυμα για τους χρήστες που ενδέχεται να επηρεαστούν είναι να υιοθετήσουν εργαλεία που υποστηρίζουν το πρωτόκολλο ACME, εφόσον δεν το έχουν ήδη κάνει και να σταματήσουν να βασίζονται στα email ειδοποιήσεων της Let's Encrypt. Αν εξακολουθείτε να χρειάζεστε ειδοποιήσεις για την ανανέωση πιστοποιητικών, σκεφτείτε να ρυθμίσετε μια εξωτερική υπηρεσία ειδοποιήσεων με κάποιον εναλλακτικό τρόπο.
Δείτε επίσης: Χάκερ πουλάει κρίσιμο exploit του Roundcube webmail
Βάσει των παραπάνω, γίνεται φανερό ότι η Let's Encrypt προωθεί με ακόμη μεγαλύτερη έμφαση την πλήρη αυτοματοποίηση της διαχείρισης πιστοποιητικών μέσω του πρωτοκόλλου ACME, εγκαταλείποντας παλαιότερες, πιο χειροκίνητες πρακτικές όπως οι ειδοποιήσεις μέσω email. Αυτή η αλλαγή αντικατοπτρίζει μια γενικότερη τάση στον χώρο της κυβερνοασφάλειας και της διαχείρισης υποδομών: την ανάγκη για αυτοματοποιημένες, αξιόπιστες και ασφαλείς διαδικασίες που μειώνουν την ανθρώπινη παρέμβαση και το σχετικό ρίσκο.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η Let's Encrypt τερματίζει τα email λήξης πιστοποιητικών
https://www.secnews.gr/652410/lets-encrypt-termatizei-email-liksis-pistopoihtikon/
Jun 30th 2025, 10:11
by Absenta Mia
Η Let's Encrypt ανακοίνωσε ότι δεν θα αποστέλλει πλέον ειδοποιήσεις μέσω email για επικείμενες λήξεις πιστοποιητικών, λόγω του υψηλού κόστους, θεμάτων απορρήτου και της περιττής πολυπλοκότητας που συνεπάγονται αυτές οι ειδοποιήσεις.
Δείτε επίσης: Χάκερ έκλεψε 1 εκατ. αρχεία χρηστών του Cock.li σε παραβίαση webmail
Η απόφαση για τον τερματισμό της υπηρεσίας αποστολής email ειδοποιήσεων, εφαρμόστηκε από τις 4 Ιουνίου 2025, ωστόσο η Let's Encrypt την κοινοποίησε τώρα μέσω σχετικής ανάρτησης στο blog της, προκειμένου να ευαισθητοποιήσει τους χρήστες και να αποτρέψει τυχόν απρόσμενες διακοπές λειτουργίας.
Η Let's Encrypt είναι μια μη κερδοσκοπική Αρχή Πιστοποίησης (CA), που προσφέρει δωρεάν, αυτοματοποιημένα και ανοιχτά ψηφιακά πιστοποιητικά για την ενεργοποίηση του HTTPS (SSL/TLS) σε ιστοσελίδες. Από άποψη μεγέθους, συγκαταλέγεται στις μεγαλύτερες Αρχές Πιστοποίησης παγκοσμίως, έχοντας εκδώσει εκατοντάδες εκατομμύρια πιστοποιητικά σε δισεκατομμύρια ιστοσελίδες.
Η Let's Encrypt λειτουργεί με διαφάνεια και έχει περιορίσει στο ελάχιστο την αποθήκευση δεδομένων όπου είναι εφικτό. Το root πιστοποιητικό της περιλαμβάνεται στα αποθετήρια εμπιστοσύνης όλων των μεγάλων προγραμμάτων περιήγησης και λειτουργικών συστημάτων, ενώ υποστηρίζεται από κορυφαίες τεχνολογικές εταιρείες όπως οι Google, Cisco, Mozilla, EFF, Facebook και Akamai.
Ο οργανισμός χρησιμοποιεί ένα αυτοματοποιημένο πρωτόκολλο με την ονομασία ACME (Automatic Certificate Management Environment), το οποίο επιτρέπει στις ιστοσελίδες και στο λογισμικό διακομιστών να αυτοματοποιούν την έκδοση, εγκατάσταση και ανανέωση πιστοποιητικών με ελάχιστη ή και καθόλου ανθρώπινη παρέμβαση.
Σύμφωνα με την πρόσφατη ανακοίνωση, η ύπαρξη αυτής της αυτοματοποίησης αποτελεί τον κύριο λόγο για την κατάργηση της υπηρεσίας ειδοποιήσεων μέσω email, καθώς η αναγκαιότητά της μειώνεται συνεχώς.
Δείτε ακόμα: Marks & Spencer: Οι hackers έστειλαν απειλητικό email στον CEO
Η υιοθέτηση λύσεων αυτόματης ανανέωσης έχει επιταχυνθεί περαιτέρω από αλλαγές στα πρότυπα, όπως η πρόσφατη ανακοίνωση του CA/Browser Forum για τη μείωση της διάρκειας ζωής των πιστοποιητικών σε 47 ημέρες έως το 2029.
Αυτή η απόφαση καθιστά τη χειροκίνητη διαχείριση ανέφικτη ή τουλάχιστον μη πρακτική, ενισχύοντας έτσι την ανάγκη για αυτοματοποίηση προκειμένου να διατηρείται η συμμόρφωση και να αποφεύγονται διακοπές λειτουργίας. Ένας δεύτερος βασικός λόγος για την κατάργηση της υπηρεσίας email είναι το κόστος λειτουργίας της, το οποίο η Let's Encrypt εκτιμά σε «δεκάδες χιλιάδες δολάρια ετησίως». Ο οργανισμός θεωρεί ότι αυτά τα χρήματα μπορούν να αξιοποιηθούν πολύ πιο αποτελεσματικά σε άλλους τομείς της υποδομής του, η οποία επιβαρύνεται άσκοπα από τις δραστηριότητες διανομής email.
Τέλος, ο οργανισμός εκφράζει ανησυχίες σχετικά με την προστασία των προσωπικών δεδομένων των χρηστών, καθώς η διατήρηση, διαχείριση και ασφάλεια μιας μεγάλης βάσης δεδομένων με διευθύνσεις email που σχετίζονται με αρχεία έκδοσης πιστοποιητικών αποτελεί επιπλέον επιβάρυνση και ευθύνη.
Το βασικό μήνυμα για τους χρήστες που ενδέχεται να επηρεαστούν είναι να υιοθετήσουν εργαλεία που υποστηρίζουν το πρωτόκολλο ACME, εφόσον δεν το έχουν ήδη κάνει και να σταματήσουν να βασίζονται στα email ειδοποιήσεων της Let's Encrypt. Αν εξακολουθείτε να χρειάζεστε ειδοποιήσεις για την ανανέωση πιστοποιητικών, σκεφτείτε να ρυθμίσετε μια εξωτερική υπηρεσία ειδοποιήσεων με κάποιον εναλλακτικό τρόπο.
Δείτε επίσης: Χάκερ πουλάει κρίσιμο exploit του Roundcube webmail
Βάσει των παραπάνω, γίνεται φανερό ότι η Let's Encrypt προωθεί με ακόμη μεγαλύτερη έμφαση την πλήρη αυτοματοποίηση της διαχείρισης πιστοποιητικών μέσω του πρωτοκόλλου ACME, εγκαταλείποντας παλαιότερες, πιο χειροκίνητες πρακτικές όπως οι ειδοποιήσεις μέσω email. Αυτή η αλλαγή αντικατοπτρίζει μια γενικότερη τάση στον χώρο της κυβερνοασφάλειας και της διαχείρισης υποδομών: την ανάγκη για αυτοματοποιημένες, αξιόπιστες και ασφαλείς διαδικασίες που μειώνουν την ανθρώπινη παρέμβαση και το σχετικό ρίσκο.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια