Encriptemos para revocar 3 millones de certificados el 4 de marzo debido a un error de software package


Primer plano del navegador web en la pantalla LCD con enfoque superficial en el candado https

Primer plano del navegador net en la pantalla Lcd con foco superficial con luz que brilla a través del candado https. Conceptos de seguridad de Net, certificado SSL, ciberseguridad, motor de búsqueda y navegador net

Getty Images / iStockphoto

El proyecto Permit&#39s Encrypt revocará más de 3 millones de certificados TLS el miércoles 4 de marzo de 2020, debido a un mistake que descubrió en el código de su backend.

Más específicamente, el error afectó a Boulder, el application de servidor que utiliza el proyecto Enable&#39s Encrypt para verificar a los usuarios y sus dominios antes de emitir un certificado TLS.

Verificaciones de CAA afectadas por errores

El mistake impactó la implementación de la especificación CAA (Autorización de la Autoridad de Certificación) dentro de Boulder.

CAA es un estándar de seguridad que fue aprobado en 2017 y que permite a los propietarios de dominios evitar que las autoridades de certificación (CA organizaciones que emiten certificados TLS) emitan certificados para sus dominios.

Los propietarios de dominio pueden agregar un «campo CAA» a los registros DNS de su dominio, y solo la CA que figura en el campo CAA puede emitir un certificado TLS para ese dominio.

Todas las Autoridades de Certificación, como Let&#39s Encrypt, deben seguir las especificaciones de la CAA por la letra de la ley o enfrentar fuertes sanciones de los fabricantes de navegadores.

En una publicación del foro el sábado 29 de febrero, el proyecto Enable&#39s Encrypt reveló que un mistake en Boulder ignoraba las comprobaciones de CAA. El equipo Enable&#39s Encrypt explica:

«El mistake: cuando una solicitud de certificado contenía N nombres de dominio que necesitaban volver a verificar CAA, Boulder elegía un nombre de dominio y lo verificaba N veces. Lo que esto significa en la práctica es que si un suscriptor validaba un nombre de dominio en el momento X, y el CAA los registros para ese dominio en el momento en que X permitió la emisión de Enable&#39s Encrypt, ese suscriptor podría emitir un certificado que contenga ese nombre de dominio hasta X + 30 días, incluso si alguien más tarde instaló registros CAA en ese nombre de dominio que prohíben la emisión de Allow&#39s Encrypt «.

El equipo Let&#39s Encrypt parchó el mistake el sábado durante un período de mantenimiento de dos horas, y Boulder ahora está verificando los campos CAA correctamente antes de emitir nuevos certificados.

Es muy poco probable que alguien explote este error, el proyecto dijo.

Sin embargo, hoy, el proyecto Permit&#39s Encrypt anunció que estaba revocando todos los certificados que se han emitido sin las comprobaciones CAA adecuadas, siguiendo las reglas de la industria, según lo dicta el Foro CA / B.

Solo 3 millones de 160 millones de certificados activos se vieron afectados

Los ingenieros de Enable&#39s Encrypt dijeron que de los 116 millones de certificados TLS que están actualmente activos, solo el 2.6% se ve afectado por este problema, lo que representa 3,048,289 certificados.

De estos 3 millones, un millón son duplicados para el mismo dominio / subdominio, lo que pone el número actual de certificados afectados en aproximadamente 2 millones.

«Debido a la forma en que funcionaba este error, los certificados más comúnmente afectados fueron aquellos que se reeditan con mucha frecuencia, por lo que tantos certificados afectados son duplicados», explicaron hoy los ingenieros de Let&#39s Encrypt en un página especial de preguntas frecuentes dedicado al incidente.

Mañana, Let&#39s Encrypt planea revocar todos los certificados afectados, a partir de las 00:00 UTC del 4 de marzo de 2020.

Después de esta fecha, todos los certificados afectados provocarán errores en los navegadores y otras aplicaciones. Como resultado, los propietarios de dominios deberán solicitar un nuevo certificado TLS y reemplazar el anterior.

Let&#39s Encrypt dice que comenzó a notificar a los propietarios de dominios afectados por correo electrónico, pero no todos los usuarios enumeraron un método de contacto válido.

Los administradores del sistema y los website owners que actualmente utilizan los certificados Let&#39s Encrypt para sus redes y servidores pueden consultar una lista de números de serie de certificados TLS afectados en esta páginao pueden visite el siguiente sitio net y verifique si su certificado se vio afectado al ingresar el nombre de dominio de su certificado.

La semana pasada, el mismo proyecto Let&#39s Encrypt anunció que había emitido su certificado TLS gratuito número mil millones, convirtiéndolo en la CA más exitosa hasta la fecha. En su historia de cinco años, el proyecto ha logrado mantenerse libre de incidentes importantes de abuso, aunque de vez en cuando se han reportado algunos errores específicos de la plataforma. Esta marca la primera vez que el proyecto se ve obligado a revocar certificados. Sin embargo, teniendo en cuenta que el proyecto proporciona certificados gratuitos, es muy possible que muchos de sus usuarios miren para otro lado.



Enlace a la noticia initial