Let’s Encrypt revoca 3 millones de certificados digitales

Let’s Encrypt, que hace poco celebraba su certificado mil millones, ha cometido un error grave que afecta, no solo a 3 millones de certificados.

Let’s Encrypt ha tenido que revocar más de 3 millones de certificados (un 2,6% de los activos) por un fallo importante en su plataforma Boulder responsable de comprobar que la persona que solicita el certificado, es su dueño.

Todas las CAs deben acudir desde 2017 a los registros DNS del dominio y comprobar que el dueño del dominio, efectivamente permite que esa CA emita certificados para ese dominio.

Esto evita que una CA falsa o de un gobierno emita certificados falsos para dominios conocidos, técnica que fue explotada por decenas de cibercriminales en todo el mundo.

Se hace indicando el registro CAA en el servidor DNS.

Pero hasta ahora, Boulder no lo comprobaba como corresponde.

Cuando un certificado contenía N dominios en su interior (algo habitual), el software comprobaba N veces un solo dominio contra su CAA.

Let’s Encrypt

Let’s Encrypt

Considerando que Let’s Encrypt no vuelve a comprobarlo hasta 30 días después (considera bueno ese tiempo), un atacante podría haber emitido en esa ventana de tiempo un certificado falso para ese dominio.

30 días es un tiempo realmente cómodo para realizar una campaña cibercriminal, afectando a decenas de miles de usuarios, un potencial de valor incalculable para el cibercrimen.

Y Let’s Encrypt no lo habría comprobado correctamente debido a que lo ha dado por bueno… sin comprobarlo realmente.

El fallo, parece común por la forma de iterar de Go

Ha sido corregido rápidamente y resulta complicado que alguien lo haya aprovechado durante este tiempo. Aun así, con la criptografía no se juega y los certificados serán revocados.

La confiablidad de los certificados digitales es vital para la industria, existieron campañas en el pasado, inclusive patrocinados por algunos Estados, que vulneraron certificados y afectaron de forma determinante a infraestructuras críticas.

 

Por Marcelo Lozano – General Publisher IT Connect Latam