A entidade Let's Encrypt, responsável pelo fornecimento dos certificados SSL para sites com o mesmo nome, revelou que irá ser necessário revogar cerca de 3 milhões de certificados devido a um bug no seu sistema.
A falha terá afetado o sistema de validação de domínios para os certificados emitidos, o que levava a falhas na validação junto da Certificate Authority Authorization (CAA). O CAA é uma funcionalidade que permite aos administradores de domínios configurarem que entidade pode emitir certificados para um determinado nome – e que é hoje em dia bastante utilizada para prevenir a emissão de falsos certificados SSL.
No entanto, o bug terá levado a que os certificados fossem emitidos sem terem em conta esta validação, o que poderia permitir a qualquer entidade realizar a emissão dos certificados para domínios não autorizados.
Face a este problema, a organização decidiu proceder com a revogação de 3,048,289 certificados emitidos durante o período em que o bug esteve ativo. Este valor representa cerca de 2.6% de todos os certificados ativos da entidade – cerca de 116 milhões.
Os utilizadores afetados deverão receber uma notificação da Lets Encrypt a informar sobre o problema, e terão de realizar a revalidação imediata dos mesmos. Caso este processo não seja feito, os certificados irão começar a ser apresentados como inválidos nos navegadores, causando erros e falhas de acesso.
Caso seja proprietário de um domínio e tenha ativo um certificado Let’s Encrypt, poderá verificar se o mesmo se encontra afetado pela falha a partir da ferramenta neste site: https://checkhost.unboundtest.com/
Nenhum comentário
Seja o primeiro!