Το Let’s Encrypt project, πρόκειται να ανακαλέσει περισσότερα από 3 εκατομμύρια πιστοποιητικά TLS, λόγω ενός σφάλματος που ανακαλύφθηκε στον κώδικα του backend του.
Το σφάλμα ανακαλύφθηκε στο Boulder, το server software του Let’s Encrypt, που χρησιμοποιείται για να επαληθεύσει τους χρήστες και τα domain τους πριν από την έκδοση ενός πιστοποιητικού TLS.
Πιο συγκεκριμένα, επηρεάζει το πρότυπο CAA (Authorisation Authority Authorization) μέσα στο Boulder. Το CAA είναι ένα πρότυπο ασφαλείας, με το οποίο οι ιδιοκτήτες domain μπορούν να εμποδίζουν τις Αρχές Πιστοποίησης (CAs) να εκδίδουν πιστοποιητικά για τα δικά τους domain.
Όλες οι Αρχές Πιστοποίησης – όπως το Let’s Encrypt – πρέπει να ακολουθούν κατά γράμμα το πρότυπο CAA, αλλιώς αντιμετωπίζουν αυστηρές ποινές από τους κατασκευαστές προγραμμάτων περιήγησης.
Ωστόσο το Σάββατο 29 Φεβρουαρίου, όπως αναφέρθηκε σε ένα forum, το Let’s Encrypt αποκάλυψε ότι ένα bug στο Boulder αγνοούσε το πρότυπο CAA.
Η ομάδα του Let’s Encrypt επιδιόρθωσε το σφάλμα το Σάββατο, μετά από δίωρη επεξεργασία και τώρα το Boulder επαληθεύει τα πεδία CAA πριν από την έκδοση νέων πιστοποιητικών. Είναι πολύ απίθανο κάποιος να εκμεταλλεύτηκε αυτό το σφάλμα, δήλωσε η ομάδα.
Ωστόσο το Let’s Encrypt ανακοίνωσε ότι ανακαλεί σήμερα όλα τα πιστοποιητικά που έχουν εκδοθεί χωρίς τους κατάλληλους ελέγχους CAA, σύμφωνα με τους κανόνες της βιομηχανίας, όπως υπαγορεύει το φόρουμ CA / B.
Μόλις 3 από τα 116 εκατομμύρια πιστοποιητικών ανακλήθηκαν
Σύμφωνα με το Let’s Encrypt, μόνο το 2,6% των πιστοποιητικών επηρεάζεται από αυτό το σφάλμα, αντιπροσωπεύοντας 3,048,289 πιστοποιητικά.
Από αυτά τα 3 εκατομμύρια, ένα εκατομμύριο είναι αντίγραφα για το ίδιο domain/subdomain, θέτοντας τον πραγματικό αριθμό των επηρεασμένων πιστοποιητικών σε περίπου 2 εκατομμύρια.
Μετά την ανάκληση, όλα τα επηρεασμένα πιστοποιητικά θα προκαλέσουν σφάλματα στα προγράμματα περιήγησης και σε άλλες εφαρμογές. Οπότε οι ιδιοκτήτες domain θα πρέπει να ζητήσουν ένα νέο πιστοποιητικό TLS ώστε να αντικαταστήσουν το παλιό.
Αν θέλετε να ελέγξετε ποια πιστοποιητικά έχουν επηρεαστεί από το σφάλμα, μπορείτε να δείτε τη λίστα με τους σειριακούς αριθμούς πιστοποιητικών TLS σε αυτήν τη σελίδα. Εναλλακτικά μπορείτε να επισκεφθείτε τον ακόλουθο ιστότοπο.
