Primer plano del navegador net en la pantalla Lcd con foco superficial con luz que brilla a través del candado https. Conceptos de seguridad de Net, certificado SSL, ciberseguridad, motor de búsqueda y navegador net
Getty Images / iStockphoto
El proyecto Permit's Encrypt revocará más de 3 millones de certificados TLS el miércoles 4 de marzo de 2020, debido a un mistake que descubrió en el código de su backend.
Más específicamente, el error afectó a Boulder, el application de servidor que utiliza el proyecto Enable's Encrypt para verificar a los usuarios y sus dominios antes de emitir un certificado TLS.
Verificaciones de CAA afectadas por errores
El mistake impactó la implementación de la especificación CAA (Autorización de la Autoridad de Certificación) dentro de Boulder.
CAA es un estándar de seguridad que fue aprobado en 2017 y que permite a los propietarios de dominios evitar que las autoridades de certificación (CA organizaciones que emiten certificados TLS) emitan certificados para sus dominios.
Los propietarios de dominio pueden agregar un «campo CAA» a los registros DNS de su dominio, y solo la CA que figura en el campo CAA puede emitir un certificado TLS para ese dominio.
Todas las Autoridades de Certificación, como Let's Encrypt, deben seguir las especificaciones de la CAA por la letra de la ley o enfrentar fuertes sanciones de los fabricantes de navegadores.
En una publicación del foro el sábado 29 de febrero, el proyecto Enable's Encrypt reveló que un mistake en Boulder ignoraba las comprobaciones de CAA. El equipo Enable's Encrypt explica:
«El mistake: cuando una solicitud de certificado contenía N nombres de dominio que necesitaban volver a verificar CAA, Boulder elegía un nombre de dominio y lo verificaba N veces. Lo que esto significa en la práctica es que si un suscriptor validaba un nombre de dominio en el momento X, y el CAA los registros para ese dominio en el momento en que X permitió la emisión de Enable's Encrypt, ese suscriptor podría emitir un certificado que contenga ese nombre de dominio hasta X + 30 días, incluso si alguien más tarde instaló registros CAA en ese nombre de dominio que prohíben la emisión de Allow's Encrypt «.
El equipo Let's Encrypt parchó el mistake el sábado durante un período de mantenimiento de dos horas, y Boulder ahora está verificando los campos CAA correctamente antes de emitir nuevos certificados.
Es muy poco probable que alguien explote este error, el proyecto dijo.
Sin embargo, hoy, el proyecto Permit's Encrypt anunció que estaba revocando todos los certificados que se han emitido sin las comprobaciones CAA adecuadas, siguiendo las reglas de la industria, según lo dicta el Foro CA / B.
Solo 3 millones de 160 millones de certificados activos se vieron afectados
Los ingenieros de Enable's Encrypt dijeron que de los 116 millones de certificados TLS que están actualmente activos, solo el 2.6% se ve afectado por este problema, lo que representa 3,048,289 certificados.
De estos 3 millones, un millón son duplicados para el mismo dominio / subdominio, lo que pone el número actual de certificados afectados en aproximadamente 2 millones.
«Debido a la forma en que funcionaba este error, los certificados más comúnmente afectados fueron aquellos que se reeditan con mucha frecuencia, por lo que tantos certificados afectados son duplicados», explicaron hoy los ingenieros de Let's Encrypt en un página especial de preguntas frecuentes dedicado al incidente.
Mañana, Let's Encrypt planea revocar todos los certificados afectados, a partir de las 00:00 UTC del 4 de marzo de 2020.
Después de esta fecha, todos los certificados afectados provocarán errores en los navegadores y otras aplicaciones. Como resultado, los propietarios de dominios deberán solicitar un nuevo certificado TLS y reemplazar el anterior.
Let's Encrypt dice que comenzó a notificar a los propietarios de dominios afectados por correo electrónico, pero no todos los usuarios enumeraron un método de contacto válido.
Los administradores del sistema y los website owners que actualmente utilizan los certificados Let's Encrypt para sus redes y servidores pueden consultar una lista de números de serie de certificados TLS afectados en esta páginao pueden visite el siguiente sitio net y verifique si su certificado se vio afectado al ingresar el nombre de dominio de su certificado.
La semana pasada, el mismo proyecto Let's Encrypt anunció que había emitido su certificado TLS gratuito número mil millones, convirtiéndolo en la CA más exitosa hasta la fecha. En su historia de cinco años, el proyecto ha logrado mantenerse libre de incidentes importantes de abuso, aunque de vez en cuando se han reportado algunos errores específicos de la plataforma. Esta marca la primera vez que el proyecto se ve obligado a revocar certificados. Sin embargo, teniendo en cuenta que el proyecto proporciona certificados gratuitos, es muy possible que muchos de sus usuarios miren para otro lado.