Les derniers articles
Contribuer

Les contributions au blog sont ouvertes à tous. Il doit s’agir d’articles originaux qui n’ont jamais fait l’objet d’une diffusion (ni papier, ni en ligne) et qui sont en relation avec les thèmes du cloud, infrastructures de datacenters et sécurité informatique.

Pour soumettre un article, il vous suffit simplement d’envoyer votre proposition à [email protected]

Révocation de 3 millions de certificats SSL émis par Let's Encrypt

L'autorité de certificattion X509 le plus populaire Let's Encrypt va révoquer plus de 3 millions de certificats TLS dans les prochaines 24 heures qui pourraient avoir été émis à tort en raison d'un bogue dans son logiciel d'autorité de certification.
Le bogue, que Let's Encrypt a confirmé le 29 février et a été corrigé deux heures après sa découverte, a eu un impact sur la façon dont il vérifiait la propriété du nom de domaine avant d'émettre de nouveaux certificats TLS.
En conséquence, le bogue a ouvert un scénario dans lequel un certificat pourrait être émis même sans valider de manière adéquate la propriété d'un nom de domaine.

Le "Certification Authority Authorization" (CAA), un Internet Security Policy, permet aux titulaires de noms de domaine d'indiquer aux autorités de certification (CA) s'ils sont autorisés ou non à émettre des certificats numériques pour un nom de domaine spécifique.
Let's Encrypt considère que les résultats de validation de domaine ne sont bons que pendant 30 jours à compter de la validation, après quoi il revérifie l'enregistrement CAA autorisant ce domaine avant d'émettre le certificat. Le bogue - qui a été découvert dans le code de Boulder, le logiciel de signature de certificat utilisé par Let's Encrypt - est le suivant:

"Lorsqu'une demande de certificat contenait N noms de domaine nécessitant une nouvelle vérification CAA, Boulder choisissait un nom de domaine et le vérifiait N fois." En d'autres termes, lorsque Boulder devait analyser, par exemple, un groupe de 5 noms de domaine nécessitant une nouvelle vérification par CAA, il vérifiait un nom de domaine 5 fois au lieu de vérifier chacun des 5 domaines une fois.
La firme a déclaré que le bogue avait été introduit dans le cadre d'une mise à jour en juillet 2019.
Cela signifie que Let's Encrypt aurait peut-être émis des certificats qu'il ne devrait pas avoir en premier lieu, à la suite de quoi il révoque tous les certificats TLS qui étaient affecté par le bug.

Le développement intervient alors que le projet Let's Encrypt a annoncé la semaine dernière qu'il avait délivré son milliardième certificat TLS depuis son lancement en 2015.

le mercredi 04 mars 2020 |
+216 70 938 992
TUNIS Jinene Eddounia La Marsa
[email protected]

Dyxis ™
Cloud Solutions Provider
Datacenters Solutions
Digital Solutions Provider

 VISA MASTERCARD

  Lun. - Vend. 09h - 18h

  +1 (514) 222.7040

  [email protected]

WE'RE SOCIAL

© 2024 Dyxis ®

Ce site utilise des cookies


En poursuivant votre navigation, vous acceptez l’utilisation, de la part de Dyxis et de tiers, de cookies et autres traceurs à des fins techniques, statistiques, partage avec les réseaux sociaux, profilage, personnalisation des contenus et publicité personnalisée sur nos services et ceux de nos partenaires.

Paramètres