В близките часове се очаква Let’s Encrypt да анулира над 3 милиона сертификата, поради бъг в сигурността. Причината е, че досега организацията е издала 3048289 TLS сертификата за сигурност без проверка на полето CAA (Certificate Authority Authorization) на домейна.
Липсата на проверка на задължителното полето CAA се дължи на бъг, който е открит в бекенд кода на софтуера за автоматично издаване на сертификати. По-конкретно грешката е открита в сървърния софтуер Boulder, който се ползва от Let’s Encrypt и е отговорен за верификация на потребителя и неговото домейн име, преди издаването на TLS сертификат.
CAA (Certificate Authority Authorization) е стандарт за сигурност, одобрен през 2017 година, който позволява на собствениците на домейни да ограничават възможността на CA (Certificate Authorities) да издава сертификати за сигурност за техния домейн без предварителна оторизация от страна на домейн собственика.
Собствениците на домейн имена могат да добавят DNS запис от тип CAA и да попълнят списък с оторизирани CA за издаване на сертификати за сигурност от тяхно име.
Всички CA са задължени да спазват CAA спецификацията, като в противен случай е възможно да бъдат санкционирани от разработчиците на браузъри като Google (Chrome), Microsoft (Edge, IE), Apple (Safari), Opera и др.
Добрата новина е, че екипът на Let’s Encrypt вече се е погрижил за отстраняване на грешката още на 1 март, неделя, по време на предварително обявен двучасов прозорец за поддръжка.
Според организацията, малко вероятно е някой да се възползва от открития бъг. Въпреки това Let’s Encrypt е взела решение да следва стриктно индустриалните правила за сигурност и ще анулира всички издадени до момента сертификати без проверка на CAA полето.
Организацията също така посочва, че до момента са издадени 3 милиона проблемни сертификата от общо 160 милиона.
Let’s Encrypt казва, че ще уведоми всички собственици на сертификати, които ще бъдат анулирани, чрез електронно съобщение на посочения от тях имейл адрес. Въпреки организацията предупреждава, че много от регистрираните електронни адреси на потребители може да са невалидни.
Системни администратори и уебмастъри могат да проверят дали издадените им сертификати попадат в списъка за анулиране на специална страница в сайта на Let’s Encrypt.