La autoridad de firma de certificados gratuita más popular Let’s Encrypt va a revocar más de 3 millones de certificados TLS en las próximas 24 horas que pueden haber sido emitidos erróneamente debido a un error en su software de Autoridad de Certificación.
El error, que Let’s Encrypt confirmó el 29 de febrero y se corrigió dos horas después del descubrimiento, afectó la forma en que verificó la propiedad del nombre de dominio antes de emitir nuevos certificados TLS.
Como resultado, el error abrió un escenario en el que se podía emitir un certificado incluso sin validar adecuadamente el control del titular de un nombre de dominio.
La autorización de la autoridad de certificación (CAA), una política de seguridad de Internet, permite a los titulares de nombres de dominio indicar a las autoridades de certificación (CA) si están autorizados o no a emitir certificados digitales para un nombre de dominio específico.
Let’s Encrypt considera que los resultados de la validación del dominio son válidos solo durante 30 días desde el momento de la validación, después de lo cual vuelve a comprobar el registro CAA que autoriza ese dominio antes de emitir el certificado. El error, que se descubrió en el código de Boulder, el software de firma de certificados utilizado por Let’s Encrypt, es el siguiente:
«Cuando una solicitud de certificado contenía N nombres de dominio que necesitaban volver a verificar CAA, Boulder elegía un nombre de dominio y lo verificaba N veces». En otras palabras, cuando Boulder necesitaba analizar, por ejemplo, un grupo de 5 nombres de dominios que requerían una nueva verificación de CAA, verificaba un nombre de dominio 5 veces en lugar de verificar cada uno de los 5 dominios una vez.
La compañía dijo que el error se introdujo como parte de una actualización en julio de 2019.
Esto significa que Let’s Encrypt podría haber emitido certificados que no debería tener en primer lugar, como resultado de lo cual está revocando todos los certificados TLS que fueron afectado por el error.
El desarrollo se produce cuando el proyecto Let’s Encrypt anunció la semana pasada que había emitido su certificado TLS gratuito número mil millones desde su lanzamiento en 2015.
Let’s Encrypt dijo que el 2.6 por ciento de aproximadamente 116 millones de certificados activos están afectados, aproximadamente 3,048,289, de los cuales aproximadamente un millón son duplicados de otros certificados afectados.
Los propietarios de sitios web afectados tienen hasta las 8 p.m. UTC (3 p.m. EST) del 4 de marzo para renovar y reemplazar manualmente sus certificados , en caso de que los visitantes de los sitios web sean recibidos con advertencias de seguridad TLS , a medida que se revoquen los certificados, hasta que se complete el proceso de renovación.
Vale la pena señalar que los certificados emitidos por Let’s Encrypt son válidos por un período de 90 días, y los clientes de ACME como Certbot son capaces de renovarlos automáticamente.
Pero con Let’s Encrypt revocando todos los certificados afectados, los administradores del sitio web tendrán que realizar una renovación forzada para evitar interrupciones.
Además de utilizar la herramienta https://checkhost.unboundtest.com/ para verificar si un certificado necesita reemplazo, Let’s Encrypt ha reunido unlista descargable de números de serie afectados , lo que permite a los suscriptores verificar si sus sitios web dependen de un certificado afectado.
Fuente: thehackernews.com