Certifikatudstederen Let’s Encrypt tilbagekalder mere end tre millioner certifikater. Let’s Encrypt er et non-profit-foretagende med store spillere bag sig, blandt andre Mozilla, Akamai og Cisco.
Ifølge Bleepingcomputer skyldes tilbagekaldelsen, at der er fundet en bug i organisationens domænevaliderings- og udstedelsessoftware.
En fejl i Let's Encrypts software forårsagede, at visse certifikater ikke blev valideret korrekt gennem den såkaldte Certificate Authority Authorization (CAA), der er konfigureret til et tilknyttet domæne.
En medarbejder fra Let’s Encrypt har gennemgået fejlen i firmaets software, med navnet Boulder:
»Når en certifikatanmodning indeholdt N domænenavne, hvor der var behov for at gen-tjekke med CAA, ville Boulder vælge et domænenavn og kontrollere det N gange. Hvad dette betyder i praksis er, at hvis en Let’s Encrypt-kunde validerede et domænenavn på tidspunktet X, og CAA-registreringer for det domæne på tidspunktet X tilladte Let's Encrypt udstedelse, ville denne kunde være i stand til at udstede et certifikat, der indeholder det domænenavn, indtil X + 30 dage, selvom nogen senere installerede CAA-poster på det domænenavn, der forbyder udstedelse via Let's Encrypt.«
Fejlen er ifølge opslaget rettet, men de allerede udstedte certifikater bliver altså ugyldige.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
