in

Des millions de sites Web menacés après une erreur de chiffrement

Let’s Encrypt a révoqué plus de 3 millions de certificats TLS

Le projet Let’s Encrypt a annoncé qu’il révoquerait plus de trois millions de certificats TLS après la découverte d’un bogue dans son code CAA (Certification Authority Authorization).

Le bogue affecte le logiciel serveur utilisé par Let’s Encrypt, appelé Boulder, qui permet au projet de vérifier les utilisateurs et leurs domaines avant qu’un certificat TLS puisse être émis. Let’s Encrypt a décidé de révoquer les certificats TLS car l’implémentation de la spécification CAA à l’intérieur de Boulder a été affectée par le bogue.

CAA est une norme de sécurité qui a été approuvée en 2017. Elle permet aux propriétaires de domaine d’empêcher les organisations qui émettent des certificats TLS, appelés autorités de certification (CA), d’émettre des certificats pour leurs domaines.

En ajoutant un «champ CAA» aux enregistrements DNS d’un domaine, un propriétaire de domaine peut faire en sorte que seule l’autorité de certification répertoriée dans le champ CAA ait la possibilité d’émettre un certificat TLS pour son domaine. Les autorités de certification, telles que Let’s Encrypt, sont tenues de suivre exactement la spécification CAA, sinon elles pourraient encourir des sanctions de la part des fabricants de navigateurs.

Révocation des certificats TLS
Après avoir pris connaissance du problème, l’ingénieur de Let’s Encrypt Jacob Hoffman-Andrews a révélé le fait qu’un bogue dans Boulder avait conduit le logiciel serveur à ignorer les vérifications CAA dans un message sur le forum, en disant:

«Le bogue: lorsqu’une demande de certificat contenait N noms de domaine nécessitant une nouvelle vérification CAA, Boulder choisissait un nom de domaine et le vérifiait N fois. En pratique, cela signifie que si un abonné a validé un nom de domaine au moment X et que les enregistrements CAA pour ce domaine au moment X ont permis l’émission Let’s Encrypt, cet abonné pourrait émettre un certificat contenant ce nom de domaine jusqu’à X + 30. jours, même si quelqu’un a par la suite installé des enregistrements CAA sur ce nom de domaine, ce qui interdit leur émission par Let’s Encrypt. »

Le projet Let’s Encrypt a travaillé rapidement pour corriger le bogue au cours du week-end et Boulder est maintenant en mesure de vérifier correctement les champs CAA avant d’émettre de nouveaux certificats. Heureusement, il est très peu probable que quelqu’un ait exploité le bogue, selon le projet.

À ce jour, le projet Let’s Encrypt a révoqué tous les certificats émis sans contrôles CAA appropriés. Désormais, tous les certificats concernés déclencheront des erreurs de sécurité dans les navigateurs jusqu’à ce que les propriétaires de domaine demandent un nouveau certificat TLS pour remplacer l’ancien.

Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0

Google ouvre un nouveau studio de jeu Stadia dirigé par un ancien vétéran de PlayStation

Le jeu Star Wars non annoncé semble fuir via le PlayStation Network