Let’s Encrypt cancela 3 milhões de certificados HTTPS devido a bug

Falha em sistema da Let's Encrypt impedia verificação correta de domínios na emissão de certificados

Emerson Alecrim
• Atualizado há 3 anos
HTTPS (imagem: Paulo Higa)

Na semana passada, a Let’s Encrypt comemorou a marca de 1 bilhão de certificados HTTPS emitidos gratuitamente. Dias depois, a euforia foi substituída por uma preocupação: cerca de 3 milhões desses certificados terão que ser anulados por conta de um erro de software.

A Let’s Encrypt é uma autoridade certificadora (CA, na sigla em inglês) que emite certificados SSL/TLS. A iniciativa surgiu em 2016 e ganhou popularidade mundial por não cobrar pelos certificados emitidos.

Em parte, esse sucesso é possível graças à adoção, pela iniciativa, do ACME (Automatic Certificate Management Environment), protocolo que automatiza a obtenção dos certificados.

Tudo parecia bem, até que, em 29 de fevereiro, um dos engenheiros responsáveis pela Let’s Encrypt relatou que uma falha foi identificada no Boulder, sistema de gerenciamento automatizado de certificados usado pela iniciativa.

O Boulder verifica os registros de Autorização da Autoridade de Certificação (CAA, na sigla em inglês) para checar quais autoridades certificadoras podem emitir certificados para determinado domínio. Se a CAA não indicar nenhuma, qualquer CA poderá realizar a emissão.

Esse é um procedimento de segurança. Porém, o bug encontrado pela Let’s Encrypt impedia o Boulder de executar a tarefa do jeito certo: se houvesse solicitação para checagem de um grupo de dez domínios, por exemplo, o sistema verificava um único domínio dez vezes no lugar de verificar cada um deles.

Esse problema pode ter várias consequências, como permitir que um novo certificado seja emitido pela Let’s Encrypt para um domínio mesmo se uma CAA instalada mais tarde apontar algum tipo de restrição para isso.

Felizmente, o bug foi corrigido cerca de duas horas depois de sua descoberta. Mesmo assim, 3.048.289 de certificados terão que ser revogados. Os proprietários dos domínios afetados foram notificados por e-mail e devem realizar os procedimentos para substituição dos certificados até esta quarta-feira (4).

O fórum da Let’s Encrypt indica, no entanto, que há proprietários com dificuldades para aplicar as alterações necessárias.

É possível que, em maior ou menor medida, esse episódio abale a confiança na Let’s Encrypt. O serviço já vinha sendo criticado por emitir certificados HTTPS que são usados em páginas de phishing, por exemplo, apesar dos esforços para evitar o uso indevido deles.

Com informações: Ars Technica, Bleeping Computer.

Leia | O que é certificado SSL?

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.