Il progetto Let's Encrypt ha annunciato che revocherà più di tre milioni di certificati TLS dopo aver riscontrato un bug nel codice CAA (Certification Authority Authorization). Il bug colpisce il software server utilizzato da Let's Encrypt, chiamato Boulder, che consente al progetto di verificare gli utenti e i loro domini prima che possa essere emesso un certificato TLS. Let's Encrypt ha deciso di revocare i certificati TLS perché l'implementazione della specifica CAA all'interno di Boulder era interessata dal bug. CAA è uno standard di sicurezza approvato nel 2017. Consente ai proprietari di domini di impedire alle organizzazioni che emettono certificati TLS, chiamate autorità di certificazione (CA), di emettere certificati per i loro domini. Aggiungendo un "campo CAA" ai record DNS di un dominio, il proprietario di un dominio può garantire che solo l'autorità di certificazione inclusa nel campo CAA abbia la capacità di emettere un certificato TLS per il proprio dominio. Le autorità di certificazione, come Let's Encrypt, devono seguire esattamente le specifiche CAA, altrimenti potrebbero incorrere in sanzioni da parte dei produttori di browser.
Revoca dei certificati TLS
Dopo aver appreso del problema, l'ingegnere di Let's Encrypt Jacob Hoffman-Andrews ha rivelato in un post del forum che un bug in Boulder aveva fatto sì che il software del server ignorasse i controlli CAA, dicendo: "Il bug: quando una richiesta di certificato conteneva N nomi di dominio che richiedevano un nuova verifica CAA, Boulder ha scelto un nome di dominio e lo ha verificato N volte. In pratica, questo significa che se un abbonato convalidasse un nome di dominio al momento CAA per questo dominio al tempo X consentisse l'emissione di Let's Encrypt, questo abbonato potrebbe emettere un certificato contenente questo nome di dominio fino al quale ne vieta l'emissione da parte di Let's Encrypt." Il progetto Let's Encrypt ha lavorato rapidamente per correggere il bug durante il fine settimana e Boulder può ora verificare correttamente i campi CAA prima di emettere nuovi certificati. Fortunatamente, a seconda del progetto, è altamente improbabile che qualcuno abbia sfruttato il bug. Ad oggi, il progetto Let's Encrypt ha revocato tutti i certificati emessi senza adeguati controlli CAA. Ora tutti i certificati interessati attiveranno errori di sicurezza nei browser finché i proprietari del dominio non richiederanno un nuovo certificato TLS per sostituire quello vecchio. Tramite ZDNet