L'autorité de certification à but non lucratif Let's Encrypt, qui fournit gratuitement des certificats X.509 pour le chiffrement TLS, a annoncé qu'elle révoque certains certificats clients en raison d'un bug dans leur logiciel Boulder.
Le bug concerne un peu plus de 3 millions de certificats leur permettant de contourner la validation multi-domaines appropriée dans des circonstances spécifiques, un tiers d'entre eux étant des certificats en double. Pour faire court, lorsque vous créez un certificat X.509, vous passez par deux étapes : valider votre nom de domaine, puis émettre le certificat requis pour ce domaine. L'émission d'un certificat nécessite également de s'assurer que l'autorité de certification est autorisée à émettre un certificat pour le domaine donné, ce qui est accompli en vérifiant un enregistrement CAA. Let's Encrypt considère que les validations de domaine sont valables jusqu'à 30 jours, mais selon des règles de validation des enregistrements CAA, il doit être vérifié à nouveau si vous essayez d'émettre un certificat 8 heures après la validation initiale. À ce stade, c'est là que le bug survient :
Lorsqu'une demande de certificat contenait N noms de domaine nécessitant une nouvelle vérification CAA, Boulder choisissait un nom de domaine et le vérifiait N fois. En pratique, cela signifie que si un abonné a validé un nom de domaine au moment X et que les enregistrements CAA pour ce domaine au moment X ont permis l'émission par Let's Encrypt, cet abonné pourrait émettre un certificat contenant ce nom de domaine jusqu'à X + 30 jours, même si quelqu'un a par la suite installé des enregistrements CAA sur ce nom de domaine, ce qui interdit leur émission par Let's Encrypt.
Trois millions de certificats ne sont qu'une petite partie des près de 120 millions de certificats actuellement servis par Let's Encrypt. Néanmoins, cela constituera une nuisance majeure pour de nombreux clients, qui devront renouveler leurs certificats avant le début de la révocation le 04-03-2020 15h US EST s'ils souhaitent que leurs systèmes continuent de fonctionner comme prévu.
Let's Encrypt propose une page de test pour tous les clients afin de vérifier la validité de leurs certificats, et s'ils sont affectés par le bug, domaine par domaine. Vous pouvez également consulter la liste complète des numéros de série des certificats concernés.
Let's Encrypt a été lancé le 12 avril 2016 et a transformé Internet en quelque sorte en rendant un processus coûteux et long, comme l'utilisation de HTTPS via un certificat X.509, en un service simple, gratuit et largement disponible. Récemment, l'organisation a annoncé avoir émis un milliard de certificats au total depuis sa fondation et il est estimé que Let's Encrypt a doublé le pourcentage de sites Web sécurisés.