Let’s Encrypt comenzará a revocar ciertos certificados SSL/TLS emitidos en los últimos 90 días debido a un error, a partir del 28 de enero de 2022. La medida podría afectar a millones de certificados activos de Let’s Encrypt.
Como autoridad certificadora sin fines de lucro dirigida por Internet Security Research Group (ISRG), Let’s Encrypt proporciona certificados X.509 para el cifrado de seguridad de la capa de transporte sin costo alguno.
Certificados ‘emitidos incorrectamente’ para ser revocados
Ayer, ISRG fue informado por un tercero que examinó el repositorio de código de Boulder de Let’s Encrypt que había «dos irregularidades» en la implementación por parte de la autoridad de certificación del método de validación «TLS usando ALPN» [ 1 , 2 ].
En consecuencia, la autoridad de certificación tuvo que realizar dos cambios en el funcionamiento de su validación de desafío TLS-ALPN-01.
«Todos los certificados activos que se emitieron y validaron con el desafío TLS-ALPN-01 antes de las 00:48 UTC del 26 de enero de 2022 cuando se implementó nuestra corrección se consideran mal emitidos», explica Jillian, ingeniero de confiabilidad del sitio (SRE) de Let’s Encrypt.
Para cumplir con la Política de certificados de Let’s Encrypt , que requiere que la autoridad de certificación invalide un Certificado dentro de los 5 días bajo ciertas condiciones, la organización sin fines de lucro comenzará a revocar certificados a las 16:00 UTC del 28 de enero de 2022.
Tenga en cuenta, sin embargo, que no todos los certificados se ven afectados por la implementación incorrecta del método de validación «TLS usando ALPN». Esta revocación planificada solo se aplicará a los certificados emitidos con el método de validación defectuoso TLS-ALPN-01.
Estimamos que [menos del] 1% de los certificados activos se ven afectados. Los suscriptores afectados por las revocaciones recibirán notificaciones por correo electrónico si su cuenta ACME contiene una dirección de correo electrónico válida. Si se ve afectado por esta revocación y necesita ayuda para renovar su certificado por favor haga preguntas en este hilo explica además el ingeniero.
«Proporcionaremos más detalles sobre este incidente en los próximos días».
A partir de noviembre de 2021, la cantidad de todos los certificados Let’s Encrypt activos superó los 221 millones, según lo visto por BleepingComputer.
Por lo tanto, la cantidad de certificados activos afectados (1 % o menos) podría llegar a millones, si estos se emitieron con la validación de desafío TLS-ALPN-01 defectuosa.
Usuarios que reciben notificaciones por correo electrónico
Los propietarios de sitios con los certificados de Let’s Encrypt afectados informan que recibieron notificaciones por correo electrónico, indicándoles que renueven sus certificados ya que la revocación está a punto de entrar en vigor.
«Si recibió el correo electrónico, su cuenta obtuvo con éxito al menos un certificado en los últimos 90 días que se validó mediante el desafío TLS-ALPN-01», explica Let’s Encrypt en el hilo mencionado anteriormente.
«Todos los certificados emitidos en los últimos 90 días y validados con el desafío TLS-ALPN-01 están afectados. Debe (forzar) renovar el certificado de acuerdo con las instrucciones de su cliente ACME. Si su cliente requiere que realice un cambio de configuración, recuerde para revertir después de que se renueve su certificado!»
En 2020, Let’s Encrypt revocó millones de certificados después de enterarse de otro error de validación.
Dado el corto aviso, no todos los usuarios pueden estar satisfechos con el movimiento repentino pero necesario de Let’s Encrypt.
Sin embargo, en el lado positivo, aquellos que utilizan soluciones de administración de certificados automatizadas como Caddy Web Server pueden estar tranquilos.
«Los sitios que utilizan Caddy v2.4.2 o posterior no deberían tener que tomar ninguna medida cuando se revocan los certificados automáticos. Disfrute de su sueño», promociona el equipo detrás de Caddy Web Server.
«Caddy grapa automáticamente OCSP para todos los certificados relevantes. Actualizará el elemento básico aproximadamente a la mitad de su período de validez. Si el siguiente estado es Revocado , Caddy reemplazará el certificado de inmediato».
Actualización, 1:54 p. m. ET: Se agregó una referencia a otro error que también condujo a la revocación de millones de certificados de Let’s Encrypt en 2020.
Fuente: https://www.bleepingcomputer.com
