Let's Encrypt må tilbagekalde tre millioner certifikater

Illustration: Kinsta
Certifikater tilbagekaldes grund af en bug i Let's Encrypts software.

Certifikatudstederen Let’s Encrypt tilbagekalder mere end tre millioner certifikater. Let’s Encrypt er et non-profit-foretagende med store spillere bag sig, blandt andre Mozilla, Akamai og Cisco.

Ifølge Bleepingcomputer skyldes tilbagekaldelsen, at der er fundet en bug i organisationens domænevaliderings- og udstedelsessoftware.

Læs også: Firefox slår kontroversiel kryptering til i USA

En fejl i Let's Encrypts software forårsagede, at visse certifikater ikke blev valideret korrekt gennem den såkaldte Certificate Authority Authorization (CAA), der er konfigureret til et tilknyttet domæne.

En medarbejder fra Let’s Encrypt har gennemgået fejlen i firmaets software, med navnet Boulder:

»Når en certifikatanmodning indeholdt N domænenavne, hvor der var behov for at gen-tjekke med CAA, ville Boulder vælge et domænenavn og kontrollere det N gange. Hvad dette betyder i praksis er, at hvis en Let’s Encrypt-kunde validerede et domænenavn på tidspunktet X, og CAA-registreringer for det domæne på tidspunktet X tilladte Let's Encrypt udstedelse, ville denne kunde være i stand til at udstede et certifikat, der indeholder det domænenavn, indtil X + 30 dage, selvom nogen senere installerede CAA-poster på det domænenavn, der forbyder udstedelse via Let's Encrypt.«

Læs også: Let's Encrypt har udstedt 380 mio. gratis HTTPS-certifikater på tre år

Fejlen er ifølge opslaget rettet, men de allerede udstedte certifikater bliver altså ugyldige.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere