Проект Let’s Encrypt отзывает свыше 3 миллионов сертификатов из-за ошибки в коде

Проект Let’s Encrypt объявил о том, что из-за ошибки в коде своего ПО вынужден будет сегодня отозвать часть выданных ранее TLS-сертификатов. Let’s Encrypt является одним из удостоверяющих центов, выдающих такие сертификаты бесплатно, его деятельность уже заметно поспособствовала переходу многих интернет-ресурсов на зашифрованное соединение. Ошибка была выявлена в серверном ПО Boulder, которое используется для валидации сертификатов в рамках процесса Certificate Authority Authorization (CAA).

Этот процесс позволяет доменным администраторам указать в DNS-записи, какие именно удостоверяющие центры имеют право выпускать сертификаты для данного домена. В результате ошибки происходит сбой проверки сертификатов, выданных на несколько доменных имен. И, скажем, если сертификат выдан на 10 доменов, то Boulder проверяет одно и то же доменное имя 10 раз, вместо того, чтобы провести однократную проверку всех 10 доменных имен. В результате Let’s Encrypt может осуществлять выпуск «лишних» сертификатов.

Проблема ПО Boulder была устранена в конце февраля, свидетельств того, что ошибочно выпущенные сертификаты могли использоваться в противоправных целях в настоящее время нет. Тем не менее, в Let’s Encrypt сочли необходимым отозвать эти сертификаты. В течение сегодняшнего дня будут отозваны в общей сложности 3 048 289 действительных сертификатов, что составляет примерно 2,6% от всех активных на настоящий момент сертификатов Let’s Encrypt.


Источник:  Bleepingcomputer

Возврат к списку