idNSA.id - Let's Encrypt sertifikat authority (CA) akan mencabut lebih dari 3 juta sertifikat hari ini karena kerentanan dalam perangkat lunak yang digunakan untuk memverifikasi pengguna dan domain sebelum mengeluarkan sertifikat.
Bug dalam perangkat lunak Let's Encrypt's Certificate Authority (CA), dijuluki Boulder, menyebabkan validasi yang benar untuk beberapa sertifikat.
Bug memengaruhi cara spesifikasi CAA (Certificate Authority Authorization) diimplementasikan oleh Boulder.
Fitur keamanan CAA memungkinkan pemilik domain untuk mencegah Certificate Authorities (CAs) mengeluarkan sertifikat untuk domain mereka.
Pemilik domain dapat menambahkan "bidang CAA" ke catatan DNS domain mereka, ini menyiratkan bahwa hanya CA yang termasuk dalam bidang ini yang dapat mengeluarkan sertifikat TLS untuk domain itu.
Setiap CA harus memeriksa catatan CAA paling banyak 8 jam sebelum sertifikat dikeluarkan untuk domain tertentu, tetapi bug tersebut menyebabkan domain pada sertifikat multi-domain diperiksa beberapa kali daripada semua domain pada sertifikat yang diperiksa pada saat yang sama. waktu.
Perilaku ini menyebabkan sertifikat dikeluarkan tanpa daftar CAA yang tepat untuk beberapa domain.
“Let's Encrypt menemukan bug dalam kode CAA kami. Perangkat lunak CA kami, Boulder, memeriksa catatan CAA pada saat yang sama memvalidasi kontrol pelanggan atas nama domain. Sebagian besar pelanggan mengeluarkan sertifikat segera setelah validasi kontrol domain, tetapi kamimempertimbangkanvalidasi bagus selama 30 hari. Itu berarti dalam beberapa kasus kita perlu memeriksa catatan CAA untuk kedua kalinya, tepat sebelum penerbitan. Secara khusus, kami harus memeriksa CAA dalam waktu 8 jam sebelum penerbitan (per BRs §3.2.2.8), jadi setiap nama domain yang divalidasi lebih dari 8 jam yang lalu harus ada periksa kembali. " silahkan baca saran yang diterbitkan oleh Let's Encrypt.
"Bug: ketika permintaan sertifikat berisi nama domain N yang membutuhkan CAA periksa kembali, Boulder akan memilih satu nama domain dan memeriksanya N kali. Apa artinya ini dalam praktik adalah bahwa jika pelanggan memvalidasi nama domain pada waktu X, dan CAA mencatat untuk domain tersebut pada waktu X diizinkan penerbitan Let's encrypt , pelanggan itu akan dapat mengeluarkan sertifikat yang berisi nama domain itu hingga X + 30 hari, bahkan jika seseorang kemudian menginstal catatan CAA pada nama domain yang melarang penerbitan oleh Let's Encrypt”
Let's Encrypt mencabut 3.048.289 sertifikat, ~ 116 juta sertifikat (2,6%) aktif.
Organisasi ini mengkonfirmasi bug pada 2020-02-29 03:08 UTC, dan dua menit kemudian menghentikan penerbitan. Dalam beberapa jam (05:22 UTC) itu memperbaiki masalah dan mengaktifkan kembali penerbitan.
Menurut Let's Encrypt, bug tersebut kemungkinan diperkenalkan pada 2019-07-25.
Pengguna dapat memeriksa apakah domain mereka dipengaruhi oleh bug ini, tanyakan di https://checkhost.unboundtest.com/ .
Sumber: securityaffairs
