Encriptemos las revocaciones de más de 3 millones de sus …



La falla de validación del dominio provoca una decisión abrupta.

Let&#39s Encrypt, una organización sin fines de lucro que ha jugado un papel importante en impulsar el uso del cifrado en la World wide web, revocó hoy más de 3 millones de sus certificados digitales después de descubrir una falla en la forma en que se emitieron.

Los propietarios de dominios con certificados Permit&#39s Encrypt TLS afectados que no los renuevan rápidamente corren el riesgo de que sus sitios internet sean inaccesibles para los usuarios después de que los certificados hayan sido revocados. Esto puede ser especialmente un problema para los operadores de dominio que no tienen una notion clara de dónde se pueden ubicar los certificados afectados en su entorno para que puedan renovarse rápidamente.

«Dado el breve tiempo de respuesta requerido para responder al incidente, esto puede agotar la capacidad de los equipos de TI», dice JD Kilgallin, ingeniero de integración senior de Keyfactor.

Permit&#39s Encrypt ha publicado en herramienta en línea que los propietarios de sitios pueden usar para determinar si tienen un certificado afectado.

Permit&#39s Encrypt es una autoridad de certificación (CA): una entidad de World wide web autorizada para emitir certificados digitales que los propietarios de sitios world wide web pueden usar para garantizar que el tráfico y los datos entre su sitio y los dispositivos de los usuarios finales estén encriptados. Los sitios que usan sus certificados, como todos los sitios que usan cualquier certificado TLS, cuentan con un candado y un HTTPS en la dirección del navegador para indicar a los usuarios que el sitio united states of america cifrado y, por lo tanto, generalmente es más seguro que los sitios con solo HTTP.

Enable&#39s Encrypt ofrece sus certificados TLS sin costo. Cualquier persona que posea un nombre de dominio, incluidos los individuos, puede usar Permit&#39s Encrypt para obtener, configurar, usar y renovar certificados digitales de una manera completamente automatizada. Los certificados son válidos por 90 días y se renuevan automáticamente antes del closing de ese período.

los Grupo de Investigación de Seguridad de Online (ISRG) lanzó Let&#39s Encrypt en 2014 en un intento por fomentar una amplia adopción del cifrado en la Web. Desde que comenzó a emitirlos a fines de 2015, Let&#39s Encrypt ha emitido algunos Mil millones de certificados digitales globalmente Más de 192 millones de sitios internet en todo el mundo utilizan actualmente certificados digitales emitidos por Allow&#39s Encrypt. A lo largo de los años en que Let&#39s Encrypt ha emitido certificados, el uso de HTTPS ha aumentado drásticamente: de alrededor del 58% de todas las cargas de páginas a nivel mundial en junio de 2017 al 81% de las cargas de páginas actualmente.

El martes, Allow&#39s Encrypt anunció que period revocar un full de 3.048.289 certificados TLS actualmente válidos debido a un error que tenía descubierto en un componente de software program utilizado en un proceso de validación de dominio. El application está diseñado para verificar los registros de autorización de la autoridad de certificación (CAA) que permiten a los operadores de sitios web especificar qué CA pueden emitir certificados para sus dominios. El objetivo es asegurarse de que antes de que una CA renueve o emita automáticamente un certificado, primero verifica si el propietario del sitio ha impuesto alguna restricción a dichas renovaciones.

Lo que Enable&#39s Encrypt descubrió fue que si un sitio solicitaba automáticamente renovaciones para múltiples certificados para múltiples dominios al mismo tiempo, el proceso de validación fallaba. En lugar de hacer la comprobación de CAA para cada dominio para el que se estaba renovando un certificado, el mistake provocó que el software realizara múltiples comprobaciones contra una sola.

«Cuando Permit&#39s Encrypt fue a verificar los registros de CAA para obtener una lista de, por ejemplo, 10 renovaciones de certificados, no verificó cada dominio en la lista una vez», dijo el proveedor de seguridad Sophos dijo en una publicación de weblog. «En cambio, inadvertidamente seleccionó uno de los dominios y luego lo verificó de forma redundante 10 veces, dejando los otros nueve dominios sin marcar».

Revocación mayor para mistake menor
El pequeño error de software evitó que Allow&#39s Encrypt realizara una verificación de autorización requerida antes de emitir un certificado de confianza pública para un servidor internet, dice Kilgallin. El problema podría permitir que los malos actores obtengan certificados para sitios que no son de su propiedad. «Aunque la probabilidad de explotación es extremadamente baja, los estándares establecidos por CA / Browser Discussion board requieren que se revoquen los certificados y que los propietarios del sitio soliciten nuevos certificados con las verificaciones de autorización adecuadas», agrega.

La inscripción automatizada y la renovación de certificados como la que se ofrece a través de Let&#39s Encrypt es bastante común. Cuando el ciclo de vida del certificado funciona como se esperaba, dicha automatización puede reducir significativamente el tiempo que los administradores del sistema necesitan para garantizar que sus servidores y sistemas estén autenticados adecuadamente y proporcionen un cifrado de datos adecuado, dice Kilgallin. «Sin embargo, con situaciones anómalas como esta, los procesos de renovación automatizados pueden no estar equipados para reemplazar los certificados que fueron revocados antes de su fecha de vencimiento», dice. «Los equipos pueden no saber dónde se encuentran los certificados afectados en su entorno, lo que aumenta el riesgo de una interrupción del servicio».

Pratik Savla, ingeniero de seguridad senior de Venafi, dice que esta no es la primera vez que Allow&#39s Encrypt ha encontrado problemas con el código utilizado para las comprobaciones de registros de CAA. En el pasado, los problemas han provocado que se ignoren las reglas de CAA y se emitan los certificados por error. «Este incidente debería llevar a cualquier CA a revisar y reforzar su proceso de prueba para que no se pase por alto cualquier comportamiento incorrecto», dice.

Para las organizaciones, episodios como estos resaltan la necesidad de procesos adecuados de gestión de certificados, dice Savla. Deben comprender los certificados que se usan en el entorno, dónde existen, cuándo caducan, qué debe renovarse, qué podría ser redundante y qué podría haber expirado.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más concepts





Enlace a la noticia first