Un bogue dans un logiciel utilisé par Let’s Encrypt pousse la société à révoquer plus de 3 millions de certificats ce 4 mars
vous pouvez vérifier si vous êtes affecté ou pas
Let’s Encrypt est une autorité de certification à but non lucratif qui fournit gratuitement des certificats X.509 pour le chiffrement TLS (Transport Layer Security). Seulement, en raison d’un bogue découvert dans le code de son backend, elle se trouve dans l’obligation de révoquer plus de 3 millions de certificats TLS. C’est dans un message publié samedi dernier sur le forum en ligne du service, que Jacob Hoffman-Andrews, développeur principal de Let's Encrypt, a déclaré qu'un bogue avait été trouvé dans le code de Boulder, le logiciel serveur utilisé par Let's Encrypt pour vérifier les utilisateurs et leurs domaines avant d'émettre un certificat TLS.
Le bogue a eu un impact sur la mise en œuvre de la spécification CAA (Certificate Authority Authorization) dans Boulder. Pour ceux qui ne le savent pas, CAA est une norme de sécurité qui a été approuvée en 2017 et qui permet au titulaire d'un nom de domaine de lister dans le champ CAA, les autorités de certification qui sont autorisées à délivrer des certificats pour ce domaine. Toutes les autorités de certification comme Let's Encrypt doivent suivre la spécification CAA ou s'exposer à de lourdes sanctions de la part des fabricants de navigateurs.
Le logiciel Boulder est supposé, pour chaque demande de certificat qu’il reçoit, effectuer une vérification pour s’assurer que Let’s Encrypt soit bien autorisé à émettre le certificat demandé. Un bogue dans le logiciel l’a donc empêché d’effectuer cette vérification comme il se devait. Cela a été clairement expliqué dans le message publié sur le forum de Let’s Encrypt : « Lorsqu'une demande de certificat contenait N noms de domaine nécessitant une nouvelle vérification, Boulder choisissait un nom de domaine et le vérifiait N fois. Ce que cela signifie en pratique, c'est que si un abonné a validé un nom de domaine à un moment X, et que les données du champ CAA pour ce domaine au moment X ont permis l'émission du certificat par Let's Encrypt, cet abonné serait en mesure de faire émettre un certificat contenant ce nom de domaine jusqu'à X + 30 jours, même si quelqu'un insérait plus tard des données dans le champ CAA sur ce nom de domaine qui devraient interdire l'émission par Let's Encrypt de ce certificat ».
En conséquence, Let's Encrypt préfère la sécurité et la sûreté plutôt que la commodité et révoque ce 4 mars, tous les certificats actuellement émis dont il ne peut être certain qu'ils sont légitimes. On parle là de près de 3048289 certificats actuellement considérés comme valides, ce qui représente 2,6 % de leurs 116 millions de certificats actifs. L'équipe Let's Encrypt a corrigé le bogue samedi pendant une fenêtre de maintenance de deux heures, et Boulder vérifie maintenant correctement les champs CAA avant d'émettre de nouveaux certificats.
Passé le 4 mars, tous les certificats impactés déclencheront des erreurs dans les navigateurs et autres applications. Let's Encrypt indique qu'il a commencé à notifier les propriétaires de domaine concernés par e-mail. Ces derniers devront donc demander un nouveau certificat TLS et remplacer l'ancien. Le processus pour le faire pour ceux qui utilisent l'outil de ligne de commande Certbot est assez simple en théorie. Il leur suffit de taper la commande certbot renew --force-renewal.
Pour vérifier si votre domaine est affecté par ce bogue et doit être renouvelé, vous pouvez utiliser l'outil qui se trouve à l’adresse suivante : https://checkhost.unboundtest.com/. Entrez simplement votre nom de domaine et la page vous dira si vous êtes concerné ou non. Les personnes concernées recevront un message similaire à celui-ci : « Le certificat actuellement disponible sur [nom d'hôte] doit être renouvelé, car il est affecté par le problème de recontrôle Let's Encrypt CAA. Son numéro de série est [numéro de série]. Consultez la documentation de votre client ACME pour savoir comment renouveler un certificat »
Source : Rapport bogue, Communiqué
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
L'autorité de certification Let's Encrypt passe à la validation multi-perspective en production une contre-mesure pour bloquer les attaques du Border Gateway Protocol
L'autorité de certification Let's Encrypt annonce avoir déjà délivré un milliard de certificats SSL/TLS depuis son lancement en 2015
Microsoft Teams a été en panne pendant quelques heures parce que l'éditeur avait oublié de renouveler un certificat de sécurité critique
Partager