Bug no código da autoridade de certificação Let’s Encrypt [URGENTE !!!]
3 de março de 2020Bug no código da autoridade de certificação Let’s Encrypt [URGENTE !!!]
Por Adriano Valério Frare
Recentemente, foi descoberto um bug no código da autoridade de certificação Let’s Encrypt, descrito aqui:
https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591
Sobre o bug
Conforme informou a equipe da Let’s Encrypt “The bug: when a certificate request contained N domain names that needed CAA rechecking, Boulder would pick one domain name and check it N times. What this means in practice is that if a subscriber validated a domain name at time X, and the CAA records for that domain at time X allowed Let’s Encrypt issuance, that subscriber would be able to issue a certificate containing that domain name until X+30 days, even if someone later installed CAA records on that domain name that prohibit issuance by Let’s Encrypt.”
Verificações de CAA afetadas por bug
O bug afetou a implementação da especificação CAA (Certificate Authority Authorization) dentro do Boulder.
O CAA é um padrão de segurança que foi aprovado em 2017 e permite que os proprietários de domínios impeçam as autoridades de certificação (CAs; organizações que emitem certificados TLS) a emitir certificados para seus domínios.
Autorização da Autoridade Certificadora CAA reforça a cadeia de confiança da internet mundial
Os proprietários do domínio podem adicionar um “campo CAA” aos registros DNS de seu domínio, e somente a CA listada no campo CAA pode emitir um certificado TLS para esse domínio.
Todas as autoridades de certificação – como Let’s Encrypt – devem seguir a especificação da CAA pela letra da lei ou enfrentar penalidades severas dos fabricantes de navegadores.
Segundo o artigo do ZDNET, em uma postagem do fórum no sábado, 29 de fevereiro, o projeto Let’s Encrypt divulgou que um bug no software Boulder ignorava as verificações do CAA.
E a Let’s Encrypt corrigiu o erro, no mesmo sábado, durante uma janela de manutenção de duas horas, e Boulder agora está verificando os campos CAA corretamente antes de emitir novos certificados sem problema.
Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Test
- Autorização da Autoridade Certificadora CAA reforça a cadeia de confiança da internet mundial
- Let’s Encrypt chega a marca de 1 bilhão de certificados SSL emitidos gratuitamente e endossa ação da Apple publicada essa semana
- Certificado digital e a importância da lista de revogação. Por Adriano Frare
- 10 ferramentas online para testar SSL, TLS e vulnerabilidades
- Os desafios de segurança no IoT. Por Adriano Frare
- Apple não aceitará certificados HTTPS de longa duração