Let´s Encrypt revocando 3 millones de certificados TLS emitidos incorrectamente debido a un error.

La autoridad de firma de certificados gratuitos más popular, Let’s Encrypt, va a revocar en las próximas 24 horas más de 3 millones de certificados TLS que pueden haber sido emitidos erróneamente debido a un fallo en su software de autoridad de certificados.

El error, que Let’s Encrypt confirmó el 29 de febrero y se corrigió dos horas después de su descubrimiento, afectó a la forma en que comprobaba la propiedad del nombre de dominio antes de emitir nuevos certificados TLS.

Como resultado, el fallo abrió un escenario en el que se podía emitir un certificado incluso sin validar adecuadamente el control del titular de un nombre de dominio.

Certification Authority Authorization (CAA), traducido al español es Autorización de la Autoridad Certificadora, una política de seguridad en Internet, permite a los titulares de nombres de dominio indicar a las autoridades certificadoras (CAs) si están autorizadas o no a emitir certificados digitales para un determinado nombre de dominio.

Let’s Encrypt considera que los resultados de la validación del dominio son válidos sólo durante 30 días a partir del momento de la validación, tras lo cual vuelve a comprobar el registro de la CAA que autoriza ese dominio antes de emitir el certificado. El error que fue descubierto en el código de Boulder, el software de firma de certificados utilizado por Let’s Encrypt es el siguiente:

«Cuando una solicitud de certificado contenía N nombres de dominio que necesitaban ser revisados por la CAA, Boulder escogía un nombre de dominio y lo revisaba N veces». En otras palabras, cuando Boulder necesitaba analizar, por ejemplo, un grupo de 5 nombres de dominio que requerían una nueva verificación por parte de la CAA, revisaría un nombre de dominio 5 veces en vez de revisar cada uno de los 5 dominios una vez.

La compañía dijo que el error se introdujo como parte de una actualización en julio de 2019.

Esto significa que Let’s Encrypt podría haber emitido certificados que no debería tener en primer lugar, como resultado de lo cual está revocando todos los certificados TLS que fueron afectados por el fallo. El desarrollo se produce cuando el proyecto Let’s Encrypt anunció la semana pasada que había emitido sus mil millones de certificados TLS gratuitos desde su lanzamiento en 2015.

Let’s Encrypt dijo que el 2,6 por ciento de aproximadamente 116 millones de certificados activos están afectados – alrededor de 3.048.289 – de los cuales alrededor de un millón son duplicados de otros certificados afectados.

Los propietarios de los sitios web afectados tienen hasta las 8PM UTC (3PM EST) del 4 de marzo para renovar y reemplazar manualmente sus certificados, de lo contrario los visitantes de los sitios web serán recibidos con advertencias de seguridad TLS – ya que los certificados son revocados – hasta que el proceso de renovación se complete.

Cabe señalar que los certificados emitidos por Let’s Encrypt son válidos por un período de 90 días, y los clientes de ACME como Certbot son capaces de renovarlos automáticamente.

Pero con Let’s Encrypt revocando todos los certificados impactados, los administradores del sitio web tendrán que realizar una renovación forzada para evitar cualquier interrupción.

Además de utilizar la herramienta https://checkhost.unboundtest.com/ para comprobar si un certificado necesita ser reemplazado, Let’s Encrypt ha elaborado una lista descargable de números de serie afectados, que permite a los suscriptores comprobar si sus sitios web dependen de un certificado afectado.

https://checkhost.unboundtest.com/

Fuente: thehackernews

Comments are closed.