4 mar. 2020

Let's Encrypt revocará 3 millones de certificados por un fallo de software

Let's Encrypt es una autoridad de certificación gratuita, automatizada y abierta, la empresa ha comunicado que revocará a partir de hoy (4 de Marzo de 2020), un total de aproximadamente tres millones de certificados X509, debido a un fallo de software a la hora de efectuar la emisión de certificados.

Debido a un bug encontrado el 29 de febrero, la empresa necesita revocar muchos certificados y están enviando correos electrónicos a los suscriptores afectados. El problema esta relacionado con el software: Boulder, que implicaba un procesamiento inadecuado del registro CAA del dominio para el que se emitía el certificado, lo que permite es emitir certificados para un dominio durante 30 días incluso si el registro CAA prohibía que Let's Encrypt emitiera dichos certificados. La empresa de autoridad de certificación argumenta que cree muy poco probable que un atacante haya podido explotar la vulnerabilidad, pero ha notificado a los sitios afectados su decisión de revocar los certificados.

La previsión de todo este problema es que tendría un impacto en 3 millones de los 116 millones certificados de tipo TLS que ha emitido la compañia.

Esta publicación recopila respuestas a las preguntas frecuentes sobre esta revocación y cómo evitar problemas renovando los certificados afectados antes de tiempo.

P: ¿Cuántos certificados están afectados?

Son 2,6%, eso es 3.048.289 certificados actualmente válidos afectados, de ~116 millones
en activos. De los certificados afectados, aproximadamente un millón son duplicados de otros certificados afectados.

Debido a la forma en que funciona este error, los certificados más comúnmente afectados fueron aquellos que se reeditan con mucha frecuencia, razón por la cual tantos duplicados afectados.

P: ¿Cuándo comenzarán las revocaciones?

Estan planeando comenzar a revocar los certificados afectados a partir del 2020-03-04 20:00 UTC (3:00 pm EST del EE. UU.). Mientras tanto se continuará reemplazando los certificados afectados.

P: ¿Cómo sé si estoy usando un certificado afectado?

R: Aquí hay una herramienta en línea

O, se puede hacer a través de este comando:

openssl s_client -connect example.com:443 -servername example.com -showcerts </ dev / null 2> / dev / null | openssl x509 -text -noout | grep -A 1 Serie \ Número | tr -d:

Fuente: Let's Encrypt

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!