Últimas notícias

Fique informado

Bug no código da autoridade de certificação Let’s Encrypt [URGENTE !!!]

3 de março de 2020

Bug no código da autoridade de certificação Let’s Encrypt [URGENTE !!!]

Por Adriano Valério Frare

Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Test

Recentemente, foi descoberto um bug no código da autoridade de certificação Let’s Encrypt, descrito aqui:

https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591 

Sobre o bug

Conforme informou a equipe da Let’s Encrypt “The bug: when a certificate request contained N domain names that needed CAA rechecking, Boulder would pick one domain name and check it N times. What this means in practice is that if a subscriber validated a domain name at time X, and the CAA records for that domain at time X allowed Let’s Encrypt issuance, that subscriber would be able to issue a certificate containing that domain name until X+30 days, even if someone later installed CAA records on that domain name that prohibit issuance by Let’s Encrypt.”

Verificações de CAA afetadas por bug

O bug afetou a implementação da especificação CAA (Certificate Authority Authorization) dentro do Boulder.

O CAA é um padrão de segurança que foi aprovado em 2017 e permite que os proprietários de domínios impeçam as autoridades de certificação (CAs; organizações que emitem certificados TLS) a emitir certificados para seus domínios.

Autorização da Autoridade Certificadora CAA reforça a cadeia de confiança da internet mundial

Os proprietários do domínio podem adicionar um “campo CAA” aos registros DNS de seu domínio, e somente a CA listada no campo CAA pode emitir um certificado TLS para esse domínio.

Todas as autoridades de certificação – como Let’s Encrypt – devem seguir a especificação da CAA pela letra da lei ou enfrentar penalidades severas dos fabricantes de navegadores.

Segundo o artigo do ZDNET, em uma postagem do fórum no sábado, 29 de fevereiro, o projeto Let’s Encrypt divulgou que um bug no software  Boulder ignorava as verificações do CAA.

E a Let’s Encrypt corrigiu o erro, no mesmo sábado, durante uma janela de manutenção de duas horas, e Boulder agora está verificando os campos CAA corretamente antes de emitir novos certificados sem problema.

Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Test