Cơ quan ký chứng chỉ miễn phí phổ biến nhất Hãy mã hóa sẽ thu hồi hơn 3 triệu chứng chỉ TLS trong vòng 24 giờ tới có thể đã bị cấp sai do lỗi trong phần mềm Chứng nhận Chứng nhận.
Lỗi, mà Let Encrypt đã xác nhận vào ngày 29 tháng 2 và đã được sửa hai giờ sau khi phát hiện, đã ảnh hưởng đến cách kiểm tra quyền sở hữu tên miền trước khi cấp chứng chỉ TLS mới.
Do đó, lỗi đã mở ra một kịch bản trong đó chứng chỉ có thể được cấp ngay cả khi không xác nhận hợp lệ quyền kiểm soát của chủ sở hữu đối với một tên miền.
Các Cơ quan chứng nhận ủy quyền (CAA), chính sách bảo mật internet, cho phép chủ sở hữu tên miền chỉ ra cho cơ quan cấp chứng chỉ (CA) xem họ có được phép cấp chứng chỉ kỹ thuật số cho một tên miền cụ thể hay không.
Let Encrypt xem xét kết quả xác thực tên miền chỉ tốt trong 30 ngày kể từ thời điểm xác thực, sau đó nó kiểm tra lại hồ sơ CAA cho phép tên miền đó trước khi cấp chứng chỉ. Lỗi – được phát hiện trong mã cho Boulder, phần mềm ký chứng chỉ được sử dụng bởi Let Encrypt – như sau:
“Khi yêu cầu chứng chỉ chứa N tên miền cần kiểm tra lại CAA, Boulder sẽ chọn một tên miền và kiểm tra N lần.” Nói cách khác, khi Boulder cần phân tích, ví dụ, một nhóm gồm 5 tên miền yêu cầu kiểm tra lại CAA, nó sẽ kiểm tra một tên miền 5 lần so với việc kiểm tra từng tên miền trong 5 tên miền một lần.
Công ty cho biết lỗi được giới thiệu như là một phần của bản cập nhật trở lại vào tháng 7 năm 2019.
Điều này có nghĩa là Encrypt có thể đã cấp chứng chỉ mà nó không nên có ở nơi đầu tiên, do đó, nó sẽ thu hồi tất cả các chứng chỉ TLS bị ảnh hưởng bởi lỗi này.
Sự phát triển diễn ra khi dự án Let Encrypt công bố tuần trước rằng họ đã phát hành Giấy chứng nhận TLS miễn phí một phần tỷ kể từ khi ra mắt vào năm 2015.
Hãy mã hóa cho biết 2,6 phần trăm trong số khoảng 116 triệu chứng chỉ hoạt động bị ảnh hưởng – khoảng 3.048.289 – trong đó khoảng một triệu là bản sao của các chứng chỉ bị ảnh hưởng khác.
Chủ sở hữu trang web bị ảnh hưởng có đến 8 giờ tối UTC (3 giờ chiều EST) ngày 4 tháng 3 tới tự làm mới và thay thế chứng chỉ của họ, không biết khách truy cập vào trang web nào sẽ được chào đón Cảnh báo bảo mật TLS – khi các chứng chỉ bị thu hồi – cho đến khi quá trình gia hạn hoàn tất.
Điều đáng chú ý là các chứng chỉ do Let Encrypt cấp có giá trị trong thời gian 90 ngày và các máy khách ACME như Certbot có khả năng tự động gia hạn chúng.
Nhưng với Let Encrypt thu hồi tất cả các chứng chỉ bị ảnh hưởng, quản trị viên trang web sẽ phải thực hiện gia hạn bắt buộc để ngăn chặn mọi gián đoạn.
Bên cạnh việc sử dụng công cụ https://checkhost.unboundtest.com/ để kiểm tra xem chứng chỉ có cần thay thế hay không, Let Encrypt đã kết hợp một danh sách tải về các số sê-ri bị ảnh hưởng, cho phép người đăng ký kiểm tra xem trang web của họ có dựa trên chứng chỉ bị ảnh hưởng hay không.
