Encriptemos la vulnerabilidad
La BBC es informes Una vulnerabilidad en el servicio de certificado Let's Encrypt:
En un correo electrónico de notificación a sus clientes, la organización dijo: «Recientemente descubrimos un mistake en el código de la autoridad de certificación Permit's Encrypt».
«Desafortunadamente, esto significa que debemos revocar los certificados afectados por este mistake, que incluye uno o más de sus certificados. Para evitar interrupciones, deberá renovar y reemplazar sus certificados afectados antes del miércoles 4 de marzo. 2020. Nos disculpamos sinceramente por el problema «.
No veo nada en Let's Encrypt sitio web. Y no hay otros detalles en ningún lado. Publicaré más cuando sepa más.
EDITADO PARA AGREGAR: Más de Ars Technica:
Permit's Encrypt utiliza el software package Certification Authority llamado Boulder. Normalmente, un servidor world wide web que presta servicios a muchos nombres de dominio separados y utiliza Let's Encrypt para protegerlos recibe un único certificado LE que cubre todos los nombres de dominio utilizados por el servidor en lugar de un certificado separado para cada dominio individual.
El mistake que LE descubrió es que, en lugar de verificar cada nombre de dominio por separado para obtener registros CAA válidos que autoricen que ese dominio sea renovado por ese servidor, Boulder verificaría uno de los dominios en ese servidor n veces (donde n es el número de LE dominios con servicio en ese servidor). Enable's Encrypt generalmente considera que los resultados de validación de dominio son válidos durante 30 días desde el momento de la validación, pero los registros de CAA específicamente deben verificarse no más de ocho horas antes de la emisión del certificado.
El resultado es que se presenta una ventana de 30 días en la que Permit's Encrypt puede emitir certificados a un servidor website en particular a pesar de la presencia de registros CAA en DNS que prohibirían su emisión.
Dado que Let's Encrypt se encuentra en una posición poco envidiable de posiblemente haber emitido certificados que no debería haber emitido, está revocando todos los certificados actuales que podrían no haber tenido una verificación adecuada de registros CAA el miércoles 4 de marzo. Los usuarios cuyos certificados están programados para ser revocados lo harán necesita forzar manualmente la renovación antes de eso.
Y Allow's Encrypt tiene un entrada en el website al respecto
Publicado el 4 de marzo de 2020 a las 6:46 a.m.
•
9 comentarios