martes, 3 de marzo de 2020

Let’s Encrypt revoca millones de certificados TLS


El miércoles, se revocarán millones de certificados de seguridad de la capa de transporte debido a un error de autorización de la autoridad de certificación.

La autoridad de certificación gratuita popular Let's Encrypt dijo que revocará 3 millones de certificados de Seguridad de la capa de transporte (TLS) el miércoles, debido a un error de Autorización de autoridad de certificación (CAA). La medida podría significar que millones de sitios web e identidades de máquinas que dependen de esos certificados para proteger el flujo de datos confidenciales podrían identificarse como inseguros o dejar de estar disponibles.

Los usuarios de certificados contactados por Threatpost dijeron que fueron notificados de la revocación el martes y que se les dio 24 horas para resolver el problema.

"Administro 200 dominios en 20 servidores y tengo hasta el final del día para solucionar el problema", dijo Mark Engelhardt, consultor de TI de Ingeniería Intuitiva, en Montpelier, Vt. "Let's Encrypt no manejó esto de una manera ideal en absoluto . "

Let’s Encrypt explicó el martes que tuvo que revocar los 3 millones de certificados debido a un error de CAA que afectó la forma en que su software verificó la propiedad del dominio antes de emitir certificados.

Si bien el número de certificados afectados es de 3 millones, el número real de sitios web o identidades de máquinas afectadas probablemente será menor, debido a la forma en que se vuelven a emitir los certificados y al hecho de que es probable que otros no estén actualmente en uso, dijo Pratik Savla, ingeniero de seguridad senior en Venafi

Savla advirtió que el error podría abrir la puerta para que un atacante malintencionado tome el control de un certificado TLS en un sitio web, permitiendo que el hacker escuche el tráfico web y recopile datos confidenciales.

Let’s Encrypt dijo que una investigación preliminar determinó que el error se introdujo en su software Boulder en julio, se detectó el domingo pasado y se reparó el mismo día.

Josh Aas, director ejecutivo de Let’s Encrypt, dijo en un comunicado a Threatpost: "Se introdujo un error en nuestro código durante una actualización de indicador de función. Bajo ciertas condiciones, este error nos hizo omitir una verificación que debemos realizar antes de emitir un certificado. Determinamos que el error afectó a aproximadamente 3 millones, o alrededor del 2.6 por ciento, de nuestros certificados activos. Desafortunadamente, necesitamos revocar estos certificados, lo que haremos dentro del plazo de cumplimiento establecido por los Requisitos de línea de base ".

Kevin Bocek, vicepresidente de estrategia de seguridad e inteligencia de amenazas en Venafi, dijo que el impacto del error significa que "millones de máquinas podrían no estar disponibles o no confiarse mañana, lo que podría causar daños a las empresas que dependen de ellos".

Además de la breve notificación, Engelhardt dijo que otra de sus preocupaciones era que la notificación Let's Encrypt lo envió a buscar 200 dominios para ver cuál de los certificados que poseía se vería afectado. "El mensaje que recibimos fue vago y no ayudó a identificar certificados específicos".

En uno de los muchos paneles de mensajes que discuten el error, un usuario "Kimbo89" creó un script para automatizar el proceso. Encriptemos también proporcionó un enlace a su propio escáner para verificar los certificados TLS afectados.

Let’s Encrypt, describimos el error de esta manera:

“El error: cuando una solicitud de certificado contenía N nombres de dominio que necesitaban volver a verificar CAA, Boulder elegía un nombre de dominio y lo verificaba N veces. Lo que esto significa en la práctica es que si un suscriptor valida un nombre de dominio en el momento X, y los registros de CAA para ese dominio en el momento X permiten la emisión de Let's Encrypt, ese suscriptor podría emitir un certificado que contenga ese nombre de dominio hasta X + 30 días, incluso si alguien más tarde instaló registros CAA en ese nombre de dominio que prohíben la emisión de Let's Encrypt ".

Fuente: https://threatpost.com/
No olvides Compartir... 


Siguenos en twitter: @disoftin - @fredyavila

No hay comentarios:

Publicar un comentario

Más leídas este mes