Clicky

Let's Encrypt revoca 3 millones de certificados TLS emitidos incorrectamente debido a un error

Categoría: Seguridad
Visitas: 812
certificados Let's Encrypt

Los certificados afectados deberán renovarse manualmente

La más popular autoridad de firma de certificados gratuita, Let's Encrypt, ha revocado más de 3 millones de certificados TLS en las últimas 24 horas que pueden haber sido emitidos erróneamente debido a un error en su software de Autoridad de Certificación.

El error, que Let's Encrypt confirmó el 29 de febrero y se corrigió dos horas después del descubrimiento, afectaba la forma en que verifica la propiedad del nombre de dominio antes de emitir nuevos certificados TLS.

Como resultado, el error abrió un escenario en el que se podía emitir un certificado incluso sin validar adecuadamente el control del titular de un nombre de dominio.

 

La Autorización de la Autoridad de Certificación (CAA), una política de seguridad de Internet, permite a los titulares de nombres de dominio indicar a las autoridades de certificación (CA) si están autorizadas o no a emitir certificados digitales para un nombre de dominio específico.

Let's Encrypt considera que los resultados de validación de dominio son válidos solo durante 30 días desde el momento de la validación, después de lo cual vuelve a comprobar el registro de CAA que autoriza ese dominio antes de emitir el certificado. El error, que se descubrió en el código de Boulder, el software de firma de certificados utilizado por Let's Encrypt, es el siguiente:

"Cuando una solicitud de certificado contenía N nombres de dominio que necesitaban volver a comprobar CAA, Boulder elegía un nombre de dominio y lo verificaba N veces". En otras palabras, cuando Boulder necesitaba analizar, por ejemplo, un grupo de 5 nombres de dominios que requerían una nueva verificación de CAA, verificaba un nombre de dominio 5 veces en lugar de verificar cada uno de los 5 dominios una vez.

La compañía dijo que el error se introdujo como parte de una actualización en julio de 2019.

Esto significa que, en primer lugar, Let's Encrypt podría haber emitido certificados que no debería tener, como resultado de lo cual está revocando todos los certificados TLS que fueron afectados por el error.

El desarrollo se produce cuando el proyecto Let's Encrypt anunció la semana pasada que había emitido su certificado TLS gratuito número mil millones desde su lanzamiento en 2015.

Let's Encrypt dijo que están afectados el 2.6 por ciento de aproximadamente 116 millones de certificados activos, aproximadamente 3.048.289, de los cuales aproximadamente un millón son duplicados de otros certificados afectados.

Los propietarios de sitios web afectados tienen hasta las 8 p.m. UTC (3 p.m. EST) del 4 de marzo para renovar y reemplazar manualmente sus certificados, en caso de que los visitantes de los sitios web sean recibidos con advertencias de seguridad TLS, a medida que se revoquen los certificados, hasta que se complete el proceso de renovación.

Vale la pena señalar que los certificados emitidos por Let's Encrypt son válidos por un período de 90 días, y los clientes de ACME como Certbot son capaces de renovarlos automáticamente.

Pero con Let's Encrypt revocando todos los certificados afectados, los administradores del sitio web tendrán que realizar una renovación forzada para evitar interrupciones.

Let's Encrypt ha enviado un correo electrónico a los administradores de los dominios informando del error y dando instrucciones para su actualización.

email de Let's Encrypt

Si estás utilizando Certbot, el comando para renovar manualmente es:

certbot renew --force-renewal

Además de utilizar la herramienta https://checkhost.unboundtest.com/ para verificar si un certificado necesita reemplazo, Let's Encrypt ha reunido una lista descargable de números de serie afectados, lo que permite a los suscriptores verificar si sus sitios web dependen de un certificado afectado.