Let's Encrypt må tilbagekalde tre millioner certifikater

4. marts 2020 kl. 12:441
Let's Encrypt må tilbagekalde tre millioner certifikater
Illustration: Kinsta.
Certifikater tilbagekaldes grund af en bug i Let's Encrypts software.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Certifikatudstederen Let’s Encrypt tilbagekalder mere end tre millioner certifikater. Let’s Encrypt er et non-profit-foretagende med store spillere bag sig, blandt andre Mozilla, Akamai og Cisco.

Ifølge Bleepingcomputer skyldes tilbagekaldelsen, at der er fundet en bug i organisationens domænevaliderings- og udstedelsessoftware.

En fejl i Let's Encrypts software forårsagede, at visse certifikater ikke blev valideret korrekt gennem den såkaldte Certificate Authority Authorization (CAA), der er konfigureret til et tilknyttet domæne.

En medarbejder fra Let’s Encrypt har gennemgået fejlen i firmaets software, med navnet Boulder:

Artiklen fortsætter efter annoncen

»Når en certifikatanmodning indeholdt N domænenavne, hvor der var behov for at gen-tjekke med CAA, ville Boulder vælge et domænenavn og kontrollere det N gange. Hvad dette betyder i praksis er, at hvis en Let’s Encrypt-kunde validerede et domænenavn på tidspunktet X, og CAA-registreringer for det domæne på tidspunktet X tilladte Let's Encrypt udstedelse, ville denne kunde være i stand til at udstede et certifikat, der indeholder det domænenavn, indtil X + 30 dage, selvom nogen senere installerede CAA-poster på det domænenavn, der forbyder udstedelse via Let's Encrypt.«

Fejlen er ifølge opslaget rettet, men de allerede udstedte certifikater bliver altså ugyldige.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
6. marts 2020 kl. 10:59

... og på den måde fik Let's Encrypt så selv fint demonstreret hvorfor vi skal over på certificater med meget kortere løbetid ☺️