Encriptaremos 3 millones de certificados TLS emitidos sin verificación, los revocaremos todos

Vamos a cifrar es una de las plataformas populares que emiten certificados SSL gratuitos para sitios web. La OSFL acaba de anunciar que un bug interno provocó la emisión de más de 3 millones de certificados con verificación inadecuada, provocando que el emisor revocar todos ellos el 4 de marzo como práctica de seguridad.

Un error interno afectó al Roca, Software de servidor Let’s Encrypt utilizado para verificar a los usuarios y sus dominios antes de emitir certificados. Más específicamente, el error afectó al estándar CAA (Autorización de autoridad de certificación) en Boulder, que ignoró estas comprobaciones antes de emitir certificados.

Encriptaremos 3 millones de certificados TLS emitidos sin verificación, los revocaremos todos
Encriptaremos 3 millones de certificados TLS emitidos sin verificación, los revocaremos todos

Controles defectuosos

Jacob Hoffman en Bugzilla, que restauró el Encriptemos al ingeniero informar cómo,

“Cuando una solicitud de certificado contenía N nombres de dominio que requerían una nueva verificación de CAA, Boulder eligió un nombre de dominio y lo verificó N veces. Lo que esto significa en la práctica es que si un suscriptor valida un nombre de dominio en el momento X y los registros CAA para ese dominio en el momento X permiten la emisión de Let’s Encrypt, ese suscriptor podría emitir un certificado que contenga ese nombre de dominio hasta X + 30 días, incluso si alguien posteriormente instaló registros CAA en ese nombre de dominio que prohíben la emisión por parte de Let’s Encrypt. «

La plataforma detectó que el error se introdujo por primera vez el 25 de julio de 2019 y se confirmó en febrero de 2020. Actualmente están investigando el asunto en detalle para obtener más información. El equipo trabajó lo suficiente para corregir el error de inmediato. Poco después de identificar el error, dejaron de emitir certificados y solucionaron el error que puede recuperar en solo dos horas.

Revocación de más de 3 millones de certificados

A partir de ahora, el servicio está enviando correos electrónicos a los que se consideran afectados, e incluso ha preparado un Preguntas frecuentes hilo para responder preguntas. Let’s Encrypt cree que el error no fue aprovechado por nadie, pero decidió revocar todos los certificados emitidos por Boulder durante ese período. El 4 de marzo de 2020, Let’s Encrypt revocará sobre 3,048,289 certificados TLS como práctica de seguridad. Todos aquellos que hayan tenido sus certificados revocados, deben inscribirse nuevamente.