Let’s Encrypt cancela 3 milhões de certificados HTTPS devido a bug
Falha em sistema da Let's Encrypt impedia verificação correta de domínios na emissão de certificados
Na semana passada, a Let’s Encrypt comemorou a marca de 1 bilhão de certificados HTTPS emitidos gratuitamente. Dias depois, a euforia foi substituída por uma preocupação: cerca de 3 milhões desses certificados terão que ser anulados por conta de um erro de software.
A Let’s Encrypt é uma autoridade certificadora (CA, na sigla em inglês) que emite certificados SSL/TLS. A iniciativa surgiu em 2016 e ganhou popularidade mundial por não cobrar pelos certificados emitidos.
Em parte, esse sucesso é possível graças à adoção, pela iniciativa, do ACME (Automatic Certificate Management Environment), protocolo que automatiza a obtenção dos certificados.
Tudo parecia bem, até que, em 29 de fevereiro, um dos engenheiros responsáveis pela Let’s Encrypt relatou que uma falha foi identificada no Boulder, sistema de gerenciamento automatizado de certificados usado pela iniciativa.
O Boulder verifica os registros de Autorização da Autoridade de Certificação (CAA, na sigla em inglês) para checar quais autoridades certificadoras podem emitir certificados para determinado domínio. Se a CAA não indicar nenhuma, qualquer CA poderá realizar a emissão.
Esse é um procedimento de segurança. Porém, o bug encontrado pela Let’s Encrypt impedia o Boulder de executar a tarefa do jeito certo: se houvesse solicitação para checagem de um grupo de dez domínios, por exemplo, o sistema verificava um único domínio dez vezes no lugar de verificar cada um deles.
Esse problema pode ter várias consequências, como permitir que um novo certificado seja emitido pela Let’s Encrypt para um domínio mesmo se uma CAA instalada mais tarde apontar algum tipo de restrição para isso.
Felizmente, o bug foi corrigido cerca de duas horas depois de sua descoberta. Mesmo assim, 3.048.289 de certificados terão que ser revogados. Os proprietários dos domínios afetados foram notificados por e-mail e devem realizar os procedimentos para substituição dos certificados até esta quarta-feira (4).
O fórum da Let’s Encrypt indica, no entanto, que há proprietários com dificuldades para aplicar as alterações necessárias.
É possível que, em maior ou menor medida, esse episódio abale a confiança na Let’s Encrypt. O serviço já vinha sendo criticado por emitir certificados HTTPS que são usados em páginas de phishing, por exemplo, apesar dos esforços para evitar o uso indevido deles.
Com informações: Ars Technica, Bleeping Computer.
