Let's Encrypt revocará 3 millones de certificados TLS emitidos incorrectamente

  • 0 Respuestas
  • 262 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Dragora

  • *
  • Moderador Global
  • Mensajes: 1189
  • Actividad:
    100%
  • Country: gt
  • Reputación 16
  • La resistencia es inútil, serás absorbido.
    • Ver Perfil


La autoridad de firma de certificados gratuita más popular Let's Encrypt va a revocar más de 3 millones de certificados TLS en las próximas 24 horas que pueden haberse emitido incorrectamente debido a un error en su software de Autoridad de Certificación.

El error, que Let's Encrypt confirmó el 29 de febrero y se solucionó dos horas después del descubrimiento, afectó la forma en que verificó la propiedad del nombre de dominio antes de emitir nuevos certificados TLS.

Let's Encrypt considera que los resultados de validación de dominio son válidos solo durante 30 días desde el momento de la validación, después de lo cual vuelve a comprobar el registro CAA que autoriza ese dominio antes de emitir el certificado. El error, que se descubrió en el código de Boulder, el software de firma de certificados utilizado por Let's Encrypt, es el siguiente:

"Cuando una solicitud de certificado contenía N nombres de dominio que necesitaban volver a comprobar CAA, Boulder elegía un nombre de dominio y lo verificaba N veces". En otras palabras, cuando Boulder necesitaba analizar, por ejemplo, un grupo de 5 nombres de dominios que requerían una nueva verificación de CAA, verificaba un nombre de dominio 5 veces en lugar de verificar cada uno de los 5 dominios una vez.

La compañía dijo que el error se introdujo como parte de una actualización en julio de 2019.
Esto significa que Let's Encrypt podría haber emitido certificados que no debería tener en primer lugar, como resultado de lo cual está revocando todos los certificados TLS que fueron afectado por el error.

El desarrollo se produce cuando el proyecto Let's Encrypt anunció la semana pasada que había emitido su certificado TLS gratuito número mil millones desde su lanzamiento en 2015.

Como resultado, el error abrió un escenario en el que se podía emitir un certificado incluso sin validar adecuadamente el control del titular de un nombre de dominio.

La autorización de la autoridad de certificación (CAA), una política de seguridad de Internet, permite a los titulares de nombres de dominio indicar a las autoridades de certificación (CA) si están autorizados o no a emitir certificados digitales para un nombre de dominio específico.



Let's Encrypt dijo que el 2.6 por ciento de aproximadamente 116 millones de certificados activos están afectados, aproximadamente 3,048,289, de los cuales aproximadamente un millón son duplicados de otros certificados afectados.

Los propietarios de sitios web afectados tienen hasta las 8 p.m. UTC (3 p.m. EST) del 4 de marzo para renovar y reemplazar manualmente sus certificados , en caso de que los visitantes de los sitios web sean recibidos con advertencias de seguridad TLS , a medida que se revoquen los certificados, hasta que se complete el proceso de renovación.

Vale la pena señalar que los certificados emitidos por Let's Encrypt son válidos por un período de 90 días, y los clientes de ACME como Certbot son capaces de renovarlos automáticamente.
Pero con Let's Encrypt revocando todos los certificados afectados, los administradores del sitio web deberán realizar una renovación forzada para evitar interrupciones.

Además de usar la herramienta You are not allowed to view links. Register or Login para verificar si un certificado necesita reemplazo, Let's Encrypt ha reunido unlista descargable de números de serie afectados , lo que permite a los suscriptores verificar si sus sitios web dependen de un certificado afectado.

Vía: You are not allowed to view links. Register or Login

 

Supuesto "hackeo" a Facebook pone en riesgo a 50 millones de usuarios.

Iniciado por Andrey

Respuestas: 0
Vistas: 1638
Último mensaje Septiembre 28, 2018, 04:43:40 pm
por Andrey
Banda de "hackers" roba 1.000 millones de dólares a centenar de bancos

Iniciado por Expiaxxx

Respuestas: 1
Vistas: 2301
Último mensaje Febrero 17, 2015, 10:42:04 pm
por q3rv0
Servidor de Adobe expone datos para 7,5 millones de usuarios de Creative Cloud

Iniciado por Dragora

Respuestas: 0
Vistas: 104
Último mensaje Octubre 28, 2019, 04:16:11 pm
por Dragora
Fundación Bill y Melinda Gates otorga US$4 millones para combatir la malaria

Iniciado por graphixx

Respuestas: 0
Vistas: 1170
Último mensaje Junio 24, 2018, 07:01:50 pm
por graphixx
Bill Gates paga la deuda de Nigeria por tratamiento que salvó millones de niños

Iniciado por graphixx

Respuestas: 0
Vistas: 1453
Último mensaje Enero 21, 2018, 05:24:40 pm
por graphixx