L'autorité de certificattion X509 le plus populaire Let's Encrypt va révoquer plus de 3 millions de certificats TLS dans les prochaines 24 heures qui pourraient avoir été émis à tort en raison d'un bogue dans son logiciel d'autorité de certification.
Le bogue, que Let's Encrypt a confirmé le 29 février et a été corrigé deux heures après sa découverte, a eu un impact sur la façon dont il vérifiait la propriété du nom de domaine avant d'émettre de nouveaux certificats TLS.
En conséquence, le bogue a ouvert un scénario dans lequel un certificat pourrait être émis même sans valider de manière adéquate la propriété d'un nom de domaine.
Le "Certification Authority Authorization" (CAA), un Internet Security Policy, permet aux titulaires de noms de domaine d'indiquer aux autorités de certification (CA) s'ils sont autorisés ou non à émettre des certificats numériques pour un nom de domaine spécifique.
Let's Encrypt considère que les résultats de validation de domaine ne sont bons que pendant 30 jours à compter de la validation, après quoi il revérifie l'enregistrement CAA autorisant ce domaine avant d'émettre le certificat. Le bogue - qui a été découvert dans le code de Boulder, le logiciel de signature de certificat utilisé par Let's Encrypt - est le suivant:
"Lorsqu'une demande de certificat contenait N noms de domaine nécessitant une nouvelle vérification CAA, Boulder choisissait un nom de domaine et le vérifiait N fois." En d'autres termes, lorsque Boulder devait analyser, par exemple, un groupe de 5 noms de domaine nécessitant une nouvelle vérification par CAA, il vérifiait un nom de domaine 5 fois au lieu de vérifier chacun des 5 domaines une fois.La firme a déclaré que le bogue avait été introduit dans le cadre d'une mise à jour en juillet 2019.
Le développement intervient alors que le projet Let's Encrypt a annoncé la semaine dernière qu'il avait délivré son milliardième certificat TLS depuis son lancement en 2015.
En poursuivant votre navigation, vous acceptez l’utilisation, de la part de Dyxis et de tiers, de cookies et autres traceurs à des fins techniques, statistiques, partage avec les réseaux sociaux, profilage, personnalisation des contenus et publicité personnalisée sur nos services et ceux de nos partenaires.
Paramètres