Hlavní navigace

Let's Encrypt zítra revokuje 3 miliony certifikátů

Sdílet

Filip Jirsák 3. 3. 2020
Let's Encrypt záplata

Certifikační autorita Let's Encrypt, která zdarma vydává doménové certifikáty, revokuje 4. března přes 3 miliony certifikátů – revokace začnou o půlnoci světového času. Let's Encrypt poskytuje webovou stránku, s jejíž pomocí můžete ověřit, zda se problém týká i vašeho certifikátu. Případně můžete ověřit, zda bude certifikát revokován, podle sériového čísla. Vlastníci takových certifikátů byli upozorněni také e-mailem.

Software Boulder, který autorita používá, obsahoval chybu ve validaci CAA  záznamů v DNS. Tyto záznamy určují, která certifikační autorita je oprávněna vydat certifikát pro příslušnou doménu. Platnost validace tohoto záznamu je jen osm hodin – pokud během té doby není vydán certifikát, musí certifikační autorita záznam ověřit znova před tím, než certifikát vydá.

Pokud byl certifikát vydán na více domén, Boulder při této revalidaci ověřoval opakovaně první doménu, místo aby ověřil všechny domény. Problém by tedy nastal v případě, kdy byly domény nejprve validovány, následně by první doména zůstala pomocí CAA delegována k autoritě letsencrypt.org ale některé další domény by byly přes CAA delegovány k jiné certifikační autoritě – Let's Encrypt by v takovém případě dalších 30 dní  chybně umožnil vydat certifikát na všechny domény v seznamu.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.