Proiectul Let’s Encrypt a anuntat ca a revocat peste 3 milioane certificate SSL, in data de 4 martie 2020, datorita unui bug descoperit in codul backend-ului. Mai precis, eroarea a afectat Boulder, software-ul serverului pe care proiectul Let’s Encrypt il foloseste pentru a verifica utilizatorii si domeniile acestora inainte de emiterea unui certificat SSL.
Bug-ul a afectat procesul CAA
Eroarea a afectat implementarea specificatiei CAA (Certificate Authority Authorization) in Boulder.
CAA este un standard de securitate aprobat in 2017 si care permite proprietarilor de domenii sa impiedice autoritatile de certificare (organizatii care emit certificate SSL) sa emita certificate SSL pentru domeniile lor.
Proprietarii de domenii pot adauga un „CAA field” in zona DNS a domeniului lor prin care doar autoritatile de certificare listate in campul CAA (Certificate Authority Authorization) pot emite un certificat SSL pentru acel domeniu.
Toate autoritatile de certificare – precum Let’s Encrypt – trebuie sa respecte specificatiile CAA (Certificate Authority Authorization) prin litera legii sau sa faca fata penalitatilor din partea producatorilor de browsere.
Intr-o postare pe forum, sambata 29 februarie, Let’s Encrypt a dezvaluit ca o eroare din Boulder a ignorat verificarile CAA:
Eroarea: atunci cand o solicitare de certificat SSL contine N nume de domenii care au nevoie de reverificarea CAA (Certificate Authority Authorization), Boulder alege un nume de domeniu si il verifica de N ori. In practica, acest lucru inseamna ca daca un utilizator a validat un nume de domeniu la ora X, iar inregistrarile CAA pentru acel domeniu la ora X au permis emiterea unui certificat SSL Let’s Encrypt, acel abonat va putea emite un certificat care contine acel nume de domeniu pana la X+30 zile, chiar daca cineva a instalat ulterior inregistrari CAA pe acel nume de domeniu care interzic emiterea certificatului SSL de catre Let’s Encrypt.
Echipa Let’s Encrypt a eliminat bug-ul sambata, 29 februarie, intr-o operatiune de intretinere de 2 ore, iar Boulder verifica acum in mod corespunzator campurile CAA inainte de a emite noi certificate SSL.
Este foarte putin probabil ca cineva sa fi exploatat acest bug, au spus reprezentantii Let’s Encrypt. Cu toate acestea, Let’s Encrypt a anuntat ca va revoca toate certificatele SSL eliberate fara verificari CAA corespunzatoare, in conformitate cu normele industriei, asa cum sunt dictate de Forumul CA/B (Forumul de navigare al Autoritatii de certificare, cunoscut si sub denumirea de CA / Browser Forum).
Doar 3 milioane din cele 116 milioane de certificate SSL active emise de Let’s Encrypt au fost afectate
Reprezentantii Let’s Encrypt afirma ca din cele peste 116 milioane de certificate TLS active emise, doar 2,6% sunt afectate de eroare, reprezentand un numar de 3.048.289 certificate SSL.
Din aceste 3 milioane, 1 milion sunt duplicate pentru acelasi domeniu / subdomeniu, ceea ce plaseaza numarul real de certificate afectate la aproximativ 2 milioane.
„Datorita modului in care a operat acest bug, cele mai afectate certificate au fost cele reeditate foarte frecvent, motiv pentru care atat de multe certificate afectate sunt duplicate”, au explicat reprezentantii Let’s Encrypt intr-o pagina speciala cu intrebari si raspunsuri dedicata incidentului.
In data de 4 martie 2020 Let’s Encrypt a revocat toate certificatele SSL afectate. Dupa aceasta data, toate certificatele SSL afectate vor declansa erori in browsere si alte aplicatii. Drept urmare, proprietarii de domenii vor trebui sa solicite un nou certificat SSL si sa il inlocuieasca pe cel vechi.
Let’s Encrypt a creat un instrument dedicat si o lista de numere (serii) pentru a determina daca certificatul SSL este afectat de eroare.
Administratorii de sistem si webmasterii care utilizeaza in prezent certificate Let’s Encrypt pentru retelele si serverele lor pot verfica o lista cu numerele de serie ale certificatelor SSL afectate pe aceasta pagina, sau pot verifica daca certificatul TLS a fost afectat prin introducerea numelui de domeniu al certificatului.
In urma cu putin timp, la finalul lui februarie 2020, acelasi proiect Let’s Encrypt anunta ca a emis certificatul SSL gratuit cu numarul 1 miliard, devenind autoritatea de certificare cu cel mai mare succes in prezent. In istoria sa de cinci ani, proiectul Let’s Encrypt a reusit sa ramana lipsit de incidente majore, desi au fost raportate din cand in cand unele erori specifice platformei. Situatia curenta marcheaza prima data cand proiectul este obligat sa revoce certificate SSL. Cu toate acestea, tinand cont ca proiectul furnizeaza certificate gratuite, probabil ca multi dintre utilizatori vor ignora acest incident.
3 milioane de certificate Let‘s Encrypt sunt „nesigure”
Datorita faptului ca un numar atat de mare de certificate emise gratuit de catre Let’s Encrypt au trebuit sa fie revocate din cauza unei erori de autorizare a autoritatii de certificare (CAA), iar acest lucru poate cauza o anumita incertitudine, am sintetizat cele mai importante 3 intrebari pentru dvs.:
- Cum sunt afisate in browsere websiturile cu un certificat invalid?
Avertismentele „not secure” in bara browserului pot duce la pierderea traficului si prin urmare, la scaderea veniturilor. Interventia imediata este recomandata in acest caz.
- Cum obtinem un nou certificat pentru websitul afectat?
Nu exista o solutie din partea Let’s Encrypt – trebuie identificate solutiile individuale in functie de platforma pe care este gazduit websitul.
- De ce nu ati fost (probabil) informat in mod direct de Let’s Encrypt?
Atunci cand utilizati certificate Let’s Encrypt nu este obligatoriu sa furnizati o adresa de email de contact. Doar unii dintre utilizatorii afectati au fost informati – problema a fost detectata prea tarziu, iar administratorii web au avut doar 24 de ore pentru a reactiona. Let’s Encrypt este o autoritate de certificare gratuita, automatizata si deschisa, care nu ofera suport / asistenta.
Pasi de urmat – Recomandari
1. Aflati daca in portofoliul dvs. exista certificate SSL afectate
Certificatele individuale pot fi verificate folosind verificarea online, prin introducerea numelui de domeniu. Verificarea bulk se face in lista cu numerele de serie ale certificatelor TLS afectate.
2. Comandati un certificat SSL nou cat mai curand posibil
Pentru a preintampina astfel de probleme in viitor, trebuie sa va bazati pe expertiza unui profesionist atunci cand alegeti certificatele SSL. Iata cateva din avantajele de care veti beneficia:
- Selectie vasta: SSL de baza gratuit, validare extinsa, certificate Wildcard, certificate S/MIME, etc.
- Alerte: Notificari reinnoiri viitoare, websitul ramane protejat
- Instrumente practice: PROCEED implementeaza automat certificate si creste performanta serverului, SSL Wizard
- Suport de incredere: Expertii nostri SSL sunt la dispozitia dvs.,gata sa va ofere suportul necesar.