Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial
Aree
magazine
About

Let's Encrypt: revocati più di 3 milioni di certificati HTTPS

Let's Encrypt revoca oltre 3 milioni di certificati e mette a disposizione un tool per verificarne la validità
Let's Encrypt: revocati più di 3 milioni di certificati HTTPS
Let's Encrypt revoca oltre 3 milioni di certificati e mette a disposizione un tool per verificarne la validità
Claudio Davide Ferrara
Pubblicato il 5 mar 2020
Link copiato negli appunti

In questi giorni il team di Let's Encrypt, nota Certificate authority non profit, ha revocato ben 3 milioni di certificati TLS (Transport Layer Security) a causa di un bug riscontato nel codice del suo software di convalida.

Ad comunicare e confermare ufficialmente la problematica è stato Jacob Hoffman-Andrews, Let's Encrypt engineer, tramite un post pubblicato sul sito ufficiale della società:

Il giorno 29 febbraio 2020 abbiamo rilevato un bug nel nostro CAA [Certification Authority Authorization] code. Il CA Software che adottiamo, Boulder, si occupa di controllare i record CAA mentre convalida il nome a dominio del cliente. La maggior parte dei clienti emette un certificato immediatamente dopo tale operazione anche se per noi la convalida del domain name rimane valida per almeno 30 giorni.

Questo significa che, in alcuni casi, è necessario controllare i record CAA una seconda volta, ovvero subito prima dell'emissione. In particolare è obbligatorio verificare le CAA entro 8 ore prima dell'emissione, quindi qualsiasi nome a dominio che abbia superato il processo di convalida oltre le 8 ore precedenti richiede di subire un nuovo controllo.

Il bug si verificava quando veniva inviata una richiesta di certificazione contenente N domain name su cui si doveva eseguire un nuovo controllo CAA, in questi casi Boulder selezionava un nome a dominio e lo controllava il numero di volte previsto. Boulder finiva quindi per verificare il medesimo dominio N volte invece di controllare tutti i domain name presenti nella richiesta di certificazione, errore che permetteva ai clienti di emettere certificati anche senza la dovuta validazione.

Il team di Let's Encrypt ha già implementato un apposito bugfix per la correzione del problema, tuttavia per questioni di sicurezza è stato necessario revocare 3.048.289 certificati. Le aziende coinvolte sono già state contattate per email ed entro i prossimi giorni dovrebbero essere emessi dei certificati sostitutivi, in ogni caso è possibile sincerarsi della validità del proprio certificato tramite questo tool.

Ti consigliamo anche

Perché le App BancoPosta e Postepay chiedono l'accesso ai dati?
Sicurezza

Perché le App BancoPosta e Postepay chiedono l'accesso ai dati?
Google e Yahoo: nuove regole per la deliverability delle e-mail
Sicurezza

Google e Yahoo: nuove regole per la deliverability delle e-mail
Microsoft: hacker colpiscono ricercatori con il malware MediaPl
Sicurezza

Microsoft: hacker colpiscono ricercatori con il malware MediaPl
SonicWall: oltre 178.000 firewall vulnerabili a attacchi DoS e RCE
Sicurezza

SonicWall: oltre 178.000 firewall vulnerabili a attacchi DoS e RCE