Início » Internet » Let's Encrypt cancela 3 milhões de certificados HTTPS devido a bug

Let’s Encrypt cancela 3 milhões de certificados HTTPS devido a bug

Falha em sistema da Let's Encrypt impedia verificação correta de domínios na emissão de certificados

Emerson Alecrim Por

Na semana passada, a Let’s Encrypt comemorou a marca de 1 bilhão de certificados HTTPS emitidos gratuitamente. Dias depois, a euforia foi substituída por uma preocupação: cerca de 3 milhões desses certificados terão que ser anulados por conta de um erro de software.

A Let’s Encrypt é uma autoridade certificadora (CA, na sigla em inglês) que emite certificados SSL/TLS. A iniciativa surgiu em 2016 e ganhou popularidade mundial por não cobrar pelos certificados emitidos.

Em parte, esse sucesso é possível graças à adoção, pela iniciativa, do ACME (Automatic Certificate Management Environment), protocolo que automatiza a obtenção dos certificados.

Tudo parecia bem, até que, em 29 de fevereiro, um dos engenheiros responsáveis pela Let’s Encrypt relatou que uma falha foi identificada no Boulder, sistema de gerenciamento automatizado de certificados usado pela iniciativa.

HTTPS (Foto: Paulo Higa)

O Boulder verifica os registros de Autorização da Autoridade de Certificação (CAA, na sigla em inglês) para checar quais autoridades certificadoras podem emitir certificados para determinado domínio. Se a CAA não indicar nenhuma, qualquer CA poderá realizar a emissão.

Esse é um procedimento de segurança. Porém, o bug encontrado pela Let’s Encrypt impedia o Boulder de executar a tarefa do jeito certo: se houvesse solicitação para checagem de um grupo de dez domínios, por exemplo, o sistema verificava um único domínio dez vezes no lugar de verificar cada um deles.

Esse problema pode ter várias consequências, como permitir que um novo certificado seja emitido pela Let’s Encrypt para um domínio mesmo se uma CAA instalada mais tarde apontar algum tipo de restrição para isso.

Felizmente, o bug foi corrigido cerca de duas horas depois de sua descoberta. Mesmo assim, 3.048.289 de certificados terão que ser revogados. Os proprietários dos domínios afetados foram notificados por e-mail e devem realizar os procedimentos para substituição dos certificados até esta quarta-feira (4).

O fórum da Let’s Encrypt indica, no entanto, que há proprietários com dificuldades para aplicar as alterações necessárias.

É possível que, em maior ou menor medida, esse episódio abale a confiança na Let’s Encrypt. O serviço já vinha sendo criticado por emitir certificados HTTPS que são usados em páginas de phishing, por exemplo, apesar dos esforços para evitar o uso indevido deles.

Com informações: Ars Technica, Bleeping Computer.

Comentários da Comunidade

Participe da discussão
6 usuários participando

Os mais notáveis

Comentários com a maior pontuação

@ksio89

Esperto é o governo brasileiro que dificilmente usa certificados em seus sites!

Whebert Souza

Ah tah, então tá explicado.

Edilson Junior

Mas o Tecnoblog não utiliza o Let’s Encrypt, usa a Cloudflare.

Caio Garcia

Na verdade usa sim. O problema do governo é que eles tem uma CA própria que nenhum navegador reconhece… Governo querendo reinventar a roda…

Caio Garcia

Exato. Legal que o tecnoblog esteja na cloudfare… é um ótimo serviço de CDN Aguenta pancadas montras…

@ksio89

Mas quando usam certificado mas o navegador não reconhece como válido aparece o “https” em vermelho e riscado e uma mensagem que o site não é seguro de navegar, ao menos no Chrome era assim, não tô lembrado como aparece no Edge. Por exemplo, entrei no site da Receita Federal e não informa que o site usa certificado, seja ele válido ou não:

Já o site do Sigac informa que o certificado é válido e que foi emitido pelo Serpro:

405×510 11 KB

@Caio_Garcia Consegui encontrar uma página que usa certificado considerado inválido pelo navegador, no caso a página de configuração da minha impressora. Ou seja, sites como o da Receita Federal não possuem nem mesmo certificado inválido, pra você ver o descaso do governo.

1920×1040 32.2 KB
405×510 9.93 KB