Let’s Encrypt es una empresa de certificación, es decir, una entidad responsable de emitir y revocar certificados digitales, que proporciona certificados x.509 gratuitos para el cifrado de seguridad de nivel de transporte (TLS), a través de un proceso automatizado diseñado para eliminar el actual proceso de creación manual, la validación, firma, instalación y renovación de los certificados de sitios web seguros.
El pasado 29 de febrero, se halló un bug en el código CAA por el cual se emitían certificados para un dominio durante 30 días incluso si el registro CAA prohibía que Let’s Encrypts emitiera dichos certificados.
A continuación, adjuntamos la nota emitida por Let’s Encrypt al respecto:
“Let’s Encrypt encontró un error en nuestro código CAA. Nuestro software de CA, Boulder, verifica los registros de CAA al mismo tiempo que valida el control de un suscriptor de un nombre de dominio. La mayoría de los suscriptores emiten un certificado inmediatamente después de la validación del control de dominio, pero consideramos que una validación es válida durante 30 días. Eso significa que en algunos casos necesitamos verificar los registros de CAA por segunda vez, justo antes de la emisión. Específicamente, tenemos que verificar el CAA dentro de las 8 horas previas a la emisión (según BRs §3.2.2.8), por lo que cualquier nombre de dominio que fue validado hace más de 8 horas requiere una nueva verificación.
El error: cuando una solicitud de certificado contenía N nombres de dominio que necesitaban volver a comprobar CAA, Boulder elegía un nombre de dominio y lo comprobaba N veces. Lo que esto significa en la práctica es que si un suscriptor valida un nombre de dominio en el momento X, y los registros de CAA para ese dominio en el momento X permiten la emisión de Let’s Encrypt, ese suscriptor podría emitir un certificado que contenga ese nombre de dominio hasta X + 30 días, incluso si alguien más tarde instaló registros CAA en ese nombre de dominio que prohíben la emisión de Let’s Encrypt.
Confirmamos el error en 2020-02-29 03:08 UTC, y detuvimos la emisión a las 03:10. Implementamos una solución a las 05:22 UTC y luego volvimos a habilitar la emisión.”
Esta vulnerabilidad ha afectado a un 2,6% de los 116 millones de certificados emitidos por la compañía.
La empresa ya ha revocado más de 1.750.000 certificados y seguirán revocando, pero, afirman, que como sus certificados solo tienen una vida útil de 90 días, puede que algunos certificados caduquen antes de que les dé tiempo a que sean reemplazados.
Foto: Let’s Encrypt
Fuente: Segu-Info y Let’s Encrypt