Let’s Encrypt REVOCA más de 3 millones de certificados

El sábado 29 de febrero de 2020, Let’s Encrypt encontró un error de código en su software de CA, llamado Boulder, que verifica los registros de CAA (Certificate Authority Authorization) al mismo tiempo que valida el control de un suscriptor de un nombre de dominio. La mayoría de los suscriptores emiten un certificado inmediatamente después de la validación del control de dominio, pero la web considera una validación como válida por 30 días. Eso significa que en algunos casos se necesita verificar los registros de CAA por segunda vez, justo antes de la emisión. Específicamente, se tiene que verificar el CAA dentro de las 8 horas previas a la emisión (según las BR §3.2.2.8), por lo que cualquier nombre de dominio que haya sido validado hace más de 8 horas requiere una nueva verificación.

El error

Cuando una solicitud de certificado (CSR) contenía N nombres de dominio que necesitaban volver a comprobar CAA, Boulder elegía un nombre de dominio y lo comprobaba N veces. Lo que esto significa en la práctica es que si un suscriptor validaba un nombre de dominio en el momento X, y los registros de CAA para ese dominio en el momento X permitían la emisión de Let’s Encrypt, ese suscriptor podría emitir un certificado que contenga ese nombre de dominio hasta X + 30 días, incluso si alguien más tarde instalaba registros CAA en ese nombre de dominio que prohibían la emisión de Let’s Encrypt.

Se confirmó el error a las 03:08 UTC 29-02-2020, y se detuvo la emisión a las 03:10. Luego se implementó una solución a las 05:22 UTC y entonces se volvió a habilitar la emisión.

Las investigaciones preliminares sugieren que el error se introdujo el 25/07/2019. Let’s Encrypt indica que realizará una investigación más detallada y proporcionará un informe cuando esta finalice.

Fuente: Let’s Encrypt

Leer más
No Comments