Le projet Let's Encrypt a annoncé qu'il révoquerait plus de trois millions de certificats TLS après la découverte d'un bogue dans son code CAA (Certification Authority Authorization).
Le bogue affecte le logiciel serveur utilisé par Let's Encrypt, appelé Boulder, qui permet au projet de vérifier les utilisateurs et leurs domaines avant qu'un certificat TLS puisse être émis. Let's Encrypt a décidé de révoquer les certificats TLS car l'implémentation de la spécification CAA à l'intérieur de Boulder a été affectée par le bogue.
CAA est une norme de sécurité qui a été approuvée en 2017. Elle permet aux propriétaires de domaine d'empêcher les organisations qui émettent des certificats TLS, appelés autorités de certification (CA), d'émettre des certificats pour leurs domaines.
En ajoutant un «champ CAA» aux enregistrements DNS d'un domaine, un propriétaire de domaine peut faire en sorte que seule l'autorité de certification répertoriée dans le champ CAA ait la possibilité d'émettre un certificat TLS pour son domaine. Les autorités de certification, telles que Let's Encrypt, sont tenues de suivre exactement la spécification CAA, sinon elles pourraient encourir des sanctions de la part des fabricants de navigateurs.
Sommaire
Révocation des certificats TLS
Après avoir pris connaissance du problème, l'ingénieur Let's Encrypt Jacob Hoffman-Andrews a révélé le fait qu'un bogue dans Boulder avait conduit le logiciel serveur à ignorer les vérifications CAA dans un message du forum, en disant:
«Le bogue: lorsqu'une demande de certificat contenait N noms de domaine nécessitant une nouvelle vérification CAA, Boulder choisissait un nom de domaine et le vérifiait N fois. En pratique, cela signifie que si un abonné a validé un nom de domaine au moment X et que les enregistrements CAA pour ce domaine au moment X ont permis l'émission Let's Encrypt, cet abonné pourrait émettre un certificat contenant ce nom de domaine jusqu'à X + 30. jours, même si quelqu'un a par la suite installé des enregistrements CAA sur ce nom de domaine, ce qui interdit leur émission par Let's Encrypt. »
Le projet Let's Encrypt a travaillé rapidement pour corriger le bogue au cours du week-end et Boulder est maintenant en mesure de vérifier correctement les champs CAA avant d'émettre de nouveaux certificats. Heureusement, il est très peu probable que quelqu'un ait exploité le bogue, selon le projet.
À ce jour, le projet Let's Encrypt a révoqué tous les certificats émis sans contrôles CAA appropriés. Désormais, tous les certificats concernés déclencheront des erreurs de sécurité dans les navigateurs jusqu'à ce que les propriétaires de domaine demandent un nouveau certificat TLS pour remplacer l'ancien.
Via ZDNet