Let's Encrypt, la nota Certificate authority non profit, ha revocato nella giornata di ieri 4 Marzo oltre 3 milioni di certificati a causa di un bug nel sistema di validazione ed emissione automatizzata dei certificati TLS/SSL. Il servizio di certificazione non ha avuto altra scelta che disporre la revoca dei certificati vulnerabili, che ha avuto luogo dalle 21 di ieri fino alle 4 di stanotte (ora italiana).
Il bug si trova nel software in uso per la validazione dei certificati tramite i server Certificate Authority Authorization (CAA): Let's Encrypt utilizza Boulder per interrogare periodicamente i server CAA, verificando l'effettiva corrispondenza tra i certificati e i nomi dominio. In alcuni casi, questo il bug, i tecnici di Let's Encrypt hanno scoperto che Boulder non conduce ad una corretta corrispondenza del dominio-DNS. Tutti i certificati affetti da questo problema sono stati ritirati.
Coloro che sono stati riguardati dalla problematica dovrebbero aver ricevuto una email con l'invito a rinnovare i certificati entro oggi dato che quelli in uso potrebbero non essere più validi.
Let's Encrypt ha anche messo a disposizione un sito per verificare l'eventuale necessità di sostituire il certificato TLS in uso, disponibile qui. Ulteriori informazioni e FAQ sul problema sono visibili sul sito di Let's Encrypt, a questa pagina.
Nessun commento:
Posta un commento