IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un bogue dans un logiciel de Let’s Encrypt l'oblige à révoquer plus de 3 millions de certificats ce 4 mars


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Étudiant
    Inscrit en
    Novembre 2013
    Messages
    378
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2013
    Messages : 378
    Points : 32 150
    Points
    32 150
    Par défaut Un bogue dans un logiciel de Let’s Encrypt l'oblige à révoquer plus de 3 millions de certificats ce 4 mars
    Un bogue dans un logiciel utilisé par Let’s Encrypt pousse la société à révoquer plus de 3 millions de certificats ce 4 mars
    vous pouvez vérifier si vous êtes affecté ou pas

    Let’s Encrypt est une autorité de certification à but non lucratif qui fournit gratuitement des certificats X.509 pour le chiffrement TLS (Transport Layer Security). Seulement, en raison d’un bogue découvert dans le code de son backend, elle se trouve dans l’obligation de révoquer plus de 3 millions de certificats TLS. C’est dans un message publié samedi dernier sur le forum en ligne du service, que Jacob Hoffman-Andrews, développeur principal de Let's Encrypt, a déclaré qu'un bogue avait été trouvé dans le code de Boulder, le logiciel serveur utilisé par Let's Encrypt pour vérifier les utilisateurs et leurs domaines avant d'émettre un certificat TLS.

    Le bogue a eu un impact sur la mise en œuvre de la spécification CAA (Certificate Authority Authorization) dans Boulder. Pour ceux qui ne le savent pas, CAA est une norme de sécurité qui a été approuvée en 2017 et qui permet au titulaire d'un nom de domaine de lister dans le champ CAA, les autorités de certification qui sont autorisées à délivrer des certificats pour ce domaine. Toutes les autorités de certification comme Let's Encrypt doivent suivre la spécification CAA ou s'exposer à de lourdes sanctions de la part des fabricants de navigateurs.

    Le logiciel Boulder est supposé, pour chaque demande de certificat qu’il reçoit, effectuer une vérification pour s’assurer que Let’s Encrypt soit bien autorisé à émettre le certificat demandé. Un bogue dans le logiciel l’a donc empêché d’effectuer cette vérification comme il se devait. Cela a été clairement expliqué dans le message publié sur le forum de Let’s Encrypt : « Lorsqu'une demande de certificat contenait N noms de domaine nécessitant une nouvelle vérification, Boulder choisissait un nom de domaine et le vérifiait N fois. Ce que cela signifie en pratique, c'est que si un abonné a validé un nom de domaine à un moment X, et que les données du champ CAA pour ce domaine au moment X ont permis l'émission du certificat par Let's Encrypt, cet abonné serait en mesure de faire émettre un certificat contenant ce nom de domaine jusqu'à X + 30 jours, même si quelqu'un insérait plus tard des données dans le champ CAA sur ce nom de domaine qui devraient interdire l'émission par Let's Encrypt de ce certificat ».

    Nom : encrypt (1).jpg
Affichages : 23336
Taille : 16,6 Ko

    En conséquence, Let's Encrypt préfère la sécurité et la sûreté plutôt que la commodité et révoque ce 4 mars, tous les certificats actuellement émis dont il ne peut être certain qu'ils sont légitimes. On parle là de près de 3048289 certificats actuellement considérés comme valides, ce qui représente 2,6 % de leurs 116 millions de certificats actifs. L'équipe Let's Encrypt a corrigé le bogue samedi pendant une fenêtre de maintenance de deux heures, et Boulder vérifie maintenant correctement les champs CAA avant d'émettre de nouveaux certificats.

    Passé le 4 mars, tous les certificats impactés déclencheront des erreurs dans les navigateurs et autres applications. Let's Encrypt indique qu'il a commencé à notifier les propriétaires de domaine concernés par e-mail. Ces derniers devront donc demander un nouveau certificat TLS et remplacer l'ancien. Le processus pour le faire pour ceux qui utilisent l'outil de ligne de commande Certbot est assez simple en théorie. Il leur suffit de taper la commande certbot renew --force-renewal.

    Pour vérifier si votre domaine est affecté par ce bogue et doit être renouvelé, vous pouvez utiliser l'outil qui se trouve à l’adresse suivante : https://checkhost.unboundtest.com/. Entrez simplement votre nom de domaine et la page vous dira si vous êtes concerné ou non. Les personnes concernées recevront un message similaire à celui-ci : « Le certificat actuellement disponible sur [nom d'hôte] doit être renouvelé, car il est affecté par le problème de recontrôle Let's Encrypt CAA. Son numéro de série est [numéro de série]. Consultez la documentation de votre client ACME pour savoir comment renouveler un certificat »

    Source : Rapport bogue, Communiqué

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    L'autorité de certification Let's Encrypt passe à la validation multi-perspective en production une contre-mesure pour bloquer les attaques du Border Gateway Protocol
    L'autorité de certification Let's Encrypt annonce avoir déjà délivré un milliard de certificats SSL/TLS depuis son lancement en 2015
    Microsoft Teams a été en panne pendant quelques heures parce que l'éditeur avait oublié de renouveler un certificat de sécurité critique

  2. #2
    Membre régulier
    Inscrit en
    Avril 2008
    Messages
    17
    Détails du profil
    Informations forums :
    Inscription : Avril 2008
    Messages : 17
    Points : 75
    Points
    75
    Par défaut
    J'ai reçu un mail de leur part. Au début, j'ai cru au phishing, mais après une recherche rapide, j'ai confirmé la nouvelle.
    Personnellement, ça ne me dérange pas. C’est bien que Let’s Encrypt priorise la sécurité. Après tout, pour moi, c’est juste question d'une commande certbot renew --force-renewal.

  3. #3
    Inactif  
    Homme Profil pro
    Étudiant
    Inscrit en
    Janvier 2019
    Messages
    203
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Gabon

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2019
    Messages : 203
    Points : 585
    Points
    585
    Par défaut
    moi je vais de ce pas vérifier si j'ai été affecté ou pas

Discussions similaires

  1. Réponses: 5
    Dernier message: 29/01/2019, 09h49
  2. rajouter un menustrip dans un logiciel
    Par warubi dans le forum VB.NET
    Réponses: 1
    Dernier message: 15/05/2007, 23h13
  3. Réponses: 2
    Dernier message: 06/04/2006, 18h44
  4. Afficher une page html construite dans le logiciel [TSrings]
    Par xenos dans le forum Composants VCL
    Réponses: 4
    Dernier message: 21/03/2006, 21h32
  5. Les bases de données dans un logiciel PRo
    Par LaMusaraigne dans le forum Langages de programmation
    Réponses: 1
    Dernier message: 30/06/2005, 09h18

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo