Cơ quan ký chứng chỉ miễn phí phổ biến nhất Let’s Encrypt sẽ thu hồi hơn 3 triệu chứng chỉ TLS trong vòng 24 giờ tới do có thể đã cấp chứng chỉ sai do lỗi trong phần mềm Cơ quan cấp chứng chỉ.
Lỗi được Let Encrypt xác nhận vào ngày 29 tháng 2 và đã được sửa hai giờ sau khi phát hiện, đã ảnh hưởng đến cách nó kiểm tra quyền sở hữu tên miền trước khi cấp chứng chỉ TLS mới.
Kết quả là, lỗi đã mở ra một kịch bản trong đó chứng chỉ có thể được cấp ngay cả khi không xác nhận hợp lệ quyền kiểm soát của chủ sở hữu đối với một tên miền.
Let’s Encrypt sẽ xem xét kết quả xác thực tên miền chỉ tốt trong 30 ngày kể từ thời điểm xác thực, sau đó kiểm tra lại hồ sơ CAA cho phép tên miền đó trước khi cấp chứng chỉ. Lỗi – được phát hiện trong mã của Boulder, phần mềm ký chứng chỉ được sử dụng bởi Let Encrypt – như sau:
“Khi yêu cầu chứng chỉ chứa N tên miền cần kiểm tra lại CAA, Boulder sẽ chọn một tên miền và kiểm tra N lần.” Nói cách khác, khi Boulder cần phân tích, ví dụ, một nhóm gồm 5 tên miền yêu cầu kiểm tra lại CAA, nó sẽ kiểm tra một tên miền 5 lần thay vì việc kiểm tra từng tên miền trong 5 tên miền mỗi lần.
Công ty cho biết lỗi được giới thiệu như là một phần của bản cập nhật trở lại vào tháng 7 năm 2019.
Điều này có nghĩa là Encrypt chỉ kiểm tra một tên miền trong danh sách nhiều tên miền, do đó, nó sẽ thu hồi tất cả các chứng chỉ TLS bị ảnh hưởng bởi lỗi này.
Sự phát triển diễn ra khi dự án Let Encrypt công bố tuần trước rằng họ đã cấp một tỷ chứng chỉ TLS miễn phí kể từ khi ra mắt vào năm 2015.
Let Encrypt cho biết 2,6% trong số khoảng 116 triệu chứng chỉ hoạt động bị ảnh hưởng – khoảng 3.048.289 – trong đó khoảng một triệu là bản sao của các chứng chỉ bị ảnh hưởng khác.
Chủ sở hữu trang web bị ảnh hưởng sẽ phải đợi đến 8 giờ tối UTC (3 giờ EST) ngày 4 tháng 3 để tự gia hạn và thay thế chứng chỉ của họ , nếu không khách truy cập vào trang web sẽ nhận được cảnh báo bảo mật TLS – vì chứng nhận bị thu hồi – cho đến khi quá trình gia hạn hoàn tất.
Điều đáng chú ý là các chứng chỉ do Let Encrypt cấp có giá trị trong thời gian 90 ngày và các máy khách ACME như Certbot có khả năng tự động gia hạn chúng.
Nhưng với Let Encrypt thu hồi tất cả các chứng chỉ bị ảnh hưởng, quản trị viên trang web sẽ phải thực hiện gia hạn bắt buộc để ngăn chặn mọi gián đoạn.
Bên cạnh việc sử dụng công cụ https://checkhost.unboundtest.com/ để kiểm tra xem chứng chỉ có cần thay thế hay không, Let Encrypt đã đưa ra một danh sách có thể tải xuống các số sê-ri bị ảnh hưởng , cho phép người đăng ký kiểm tra xem trang web của họ có dựa vào chứng chỉ bị ảnh hưởng hay không.