Let’s Encrypt revokuje tři miliony certifikátů, zkontrolujte ty své

Hojně používaná certifikační autorita Let’s Encrypt revokuje kvůli objevené chybě tři miliony certifikátů. Není mezi nimi ten váš?

Let’s Encrypt je dnes nejpoužívanější certifikační autoritou na světě. Bohužel ani jí se nevyhýbají bezpečnostní problémy. Její nástroj Software Boulder, který se stará o vystavování certifikátů, obsahoval bezpečnostní chybu, kvůli které se špatně ověřovaly CAA záznamy v DNS.

Tyto záznamy umožňují provozovatelům domén určit, která autorita má právo vystavovat pro doménu důvěryhodné certifikáty. Podle současných pravidel je platnost těchto záznamů osm hodin. Pokud má u sebe autorita uloženou informaci z CAA záznamu delší dobu, musí pří další žádosti o validaci záznam znovu zkontrolovat.

Let’s Encrypt navíc drží u každého účtu seznam domén, které byly pro daný účet validovány. Tento seznam je platný 30 dnů a pokud během této doby uživatel požádá o certifikát, dostane ho. Kvůli výše zmíněnému pravidlu je ovšem před vydáním zkontrolován ještě CAA záznam, jestli stále odkazuje na správnou autoritu.

Jenže pokud probíhá žádost o ověření většího množství domén, software autority chybně ověřil CAA záznam jen u první z nich. Místo aby ověřil stav záznamu u deseti domén v řadě, zkontroloval desetkrát jen první doménu. Chyba se do kódu dostala 25. července 2019 a existuje tedy riziko, že na některá doménová jména byl certifikát vydán neoprávněně.

Chyba byla opravena dvě hodiny po nahlášení, což bylo 29. února 2020. Stále je tu však 3 048 289 certifikátů, které mohly být nesprávně vydány. To je asi 2,6 % z celkových 116 milionů certifikátů platných v současné době. Všechny tyto certifikáty budou během 4. března revokovány. Prohlížeče je tedy mohou začít odmítat jako neplatné.

Let’s Encrypt vydal webový nástroj, do kterého můžete zadat doménu a ověřit, zda se jejího certifikátu revokace také týká. Seznam zhruba 23 tisíc českých domén je zveřejněn na GitHubu Michalem Špačkem. Jsou mezi nimi i domény některých našich členů, proto raději zkontrolujte, zda nemusíte znovu generovat certifikáty pro některou ze svých domén.

1 comment

Napsat komentář: Jakub Bouček Zrušit odpověď na komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *