Let’s Encrypt dzisiaj unieważni 3 miliony certyfikatów SSL/TLS. Dotknięty był również sekurak. Sprawdźcie swoje domeny

Newsa obserwowaliśmy od kilku dni, a wczoraj my (oraz znaczna liczba innych osób) otrzymaliśmy maila z między innymi taką treścią:

We recently discovered a bug in the Let’s Encrypt certificate authority code, described here. Unfortunately, this means we need to revoke the certificates that were affected by this bug, which includes one or more of your certificates. To avoid disruption, you’ll need to renew and replace your affected certificate(s) by Wednesday, March 4, 2020. We sincerely apologize for the issue.

Rozwiązanie tematu jest proste – należy po prostu wygenerować nowy certyfikat od Let’s Encrypt .

Skąd takie zamieszanie? Let’s Encrypt wykrył błąd w swoim oprogramowaniu, który powodował brak sprawdzania rekordów DNS o nazwie CAA. CAA umożliwiają właścicielowi danej domeny m.in.  wskazanie że certyfikaty SSL/TLS mogą wydawać tylko konkretne CA (np. właściciel domeny example.com dodaje nowy wpis do DNS mówiący, że jedynym autoryzowanym CA jest ca.example.net):

example.com. IN CAA 0 issue "ca.example.net"

Czy CAA nie było w ogóle sprawdzane? Było, jednak w części przypadków ktoś potwierdzał, że jest właścicielem danej domeny, ale certyfikat mógł być wystawiony do 30 dni później. I właśnie w tym oknie nie było weryfikowane CAA (stosowna specyfikacja mówi o konieczności sprawdzenia tego pola max 8h przed wystawieniem certyfikatu).

–ms