A alegria durou pouco. Dias após comemorar a marca de 1 bilhão de certificados emitidos desde a sua fundação em 2015, a Let’s Encrypt, autoridade certificadora (CA) que concede certificados SSL/TLS de forma gratuita, se viu obrigada a revogar mais de 3 milhões de documentos por causa de uma falha em um software usado internamente. O problema em questão estava na Boulder, sistema de gerenciamento automatizado que é empregado na plataforma justamente para agilizar o processo de verificação dos domínios.
Funciona assim: a Let’s Encrypt só consegue conceder certificados sem pagar nada por isso graças ao protocolo Automatic Certificate Management Environment (ACME ou Ambiente de Gerenciamento Automático de Certificado), que automatiza boa parte dos processos “burocráticos” de certificação. O Boulder, que faz parte de tal protocolo, verifica registros de Autorização da Autoridade de Certificação (CAA, no original em inglês), para checar quais autoridades podem certificar determinado domínio.
O problema é que o programa estava realizando essa tarefa da forma errada. Ao ser incubido de verificar um grupo de dez domínios, por exemplo, ele verificava uma única URL dez vezes, em vez de checar cada uma delas individualmente. Isso possivelmente permitiu que certificados fossem emitidos para domínios que não estavam autorizados a serem certificados (o que inclui sites fraudulentos ou que armazenem conteúdo malicioso). A resolução? Revogar esses certificados “suspeitos”.
- Leia mais notícias sobre Segurança.
De acordo com a Let’s Encrypt, os responsáveis pelos domínios afetados foram prontamente notificados via email e bastará que eles sigam um determinado procedimento para reativar seus certificados (sendo que, obviamente, será aplicada uma nova checagem de segurança). De qualquer forma, é bem provável que este incidente abale ainda mais a já fragilizada imagem da plataforma, que sempre foi criticada por certificar páginas usadas em campanhas de phishing.
Fonte: The Hacker News