Millones de sitios web amenazados después de un error de cifrado

Millones de sitios web amenazados después de un error de cifrado


El proyecto Let's Encrypt anunció que revocaría más de tres millones de certificados TLS después de encontrar un error en su código de Autorización de Autoridad de Certificación (CAA).

El error afecta el software del servidor utilizado por Let's Encrypt, llamado Boulder, que permite al proyecto verificar a los usuarios y sus dominios antes de que se pueda emitir un certificado TLS. Let's Encrypt decidió revocar los certificados TLS porque la implementación de la especificación CAA dentro de Boulder se vio afectada por el error.

CAA es un estándar de seguridad que se aprobó en 2017. Permite a los propietarios de dominios evitar que las organizaciones que emiten certificados TLS, llamadas autoridades de certificación (CA), emitan certificados para sus dominios.

Al agregar un "campo CAA" a los registros DNS de un dominio, el propietario de un dominio puede asegurarse de que solo la autoridad de certificación incluida en el campo CAA tenga la capacidad de emitir un certificado TLS para su dominio. Las autoridades de certificación, como Let's Encrypt, deben seguir exactamente las especificaciones de la CAA, o pueden enfrentar sanciones de los fabricantes de navegadores.

Revocación de certificados TLS

Después de enterarse del problema, el ingeniero de Let's Encrypt, Jacob Hoffman-Andrews, reveló que un error en Boulder había causado que el software del servidor ignorara las comprobaciones de CAA en un mensaje en el foro, diciendo:

"El error: cuando una solicitud de certificado contenía N nombres de dominio que requerían una nueva verificación CAA, Boulder eligió un nombre de dominio y lo verificó N veces. En la práctica, esto significa que si un suscriptor validó un nombre de dominio en el momento X y los registros de CAA para este dominio en el momento X permitieron la emisión de Let's Encrypt, este suscriptor podría emitir un certificado que contenga este nombre de dominio hasta en X + 30 días, incluso si alguien ha instalado posteriormente registros de CAA en este nombre de dominio, lo que prohíbe su emisión por Let's Encrypt. "

El proyecto Let's Encrypt funcionó rápidamente para corregir el error durante el fin de semana y Boulder ahora puede verificar los campos CAA correctamente antes de emitir nuevos certificados. Afortunadamente, es muy poco probable que alguien haya explotado el error, según el proyecto.

Hasta la fecha, el proyecto Let's Encrypt ha revocado todos los certificados emitidos sin las comprobaciones CAA adecuadas. Ahora todos los certificados afectados desencadenarán errores de seguridad en los navegadores hasta que los propietarios del dominio soliciten un nuevo certificado TLS para reemplazar el anterior.

A través de ZDNet

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir