Trois millions de certificats TLS Let’s Encrypt ont été délivrés alors que le logiciel utilisé pour vérifier les enregistrements CAA (Certificate Authority Authorization) des domaines faisait l’objet d’un dysfonctionnement.
Qu’est-ce que l’enregistrement CAA ?
La spécification DNS CAA permet au titulaire d’un nom de domaine de spécifier dans un enregistrement DNS quelles sont les autorités de certification autorisées à émettre des certificats TLS pour ce dernier.
Les autorités de certification se doivent de vérifier si les zones DNS du nom de domaine concerné contiennent des instructions de restrictions en ce sens avant de délivrer un certificat.
Le bug du logiciel Boulder
Le logiciel Boulder qui effectue ces vérifications chez Let’s Encrypt faisait l’objet d’un bug lorsqu’une demande de certification comprenait plusieurs noms de domaine.
Au lieu de vérifier les enregistrements DNS CAA « pour chacun des N noms de domaine » concernés par la demande, Boulder vérifiait « N fois les enregistrements CAA de l’un des noms de domaine ».
De plus, ce bug permettait à un abonné Let’s Encrypt de générer de nouveaux certificats sur des sous-domaines dont les noms de domaines avaient fait l’objet d’une première demande pendant 30 jours suite à cette première émission, et ce même si entre-temps des entrées CAA avaient été mises en place et ne spécifiaient pas Let’s Encrypt comme organisme autorisé.
Let’s Encrypt a par conséquent annoncé le 3 mars qu’ils allaient révoquer les trois millions de certificats concernés dès le lendemain, les utilisateurs ne disposant que de 24 heures pour renouveler leurs certificats.
En savoir plus sur le SSL / TLS :
- Principe de fonctionnement du SSL / TLS
- Pourquoi passer son site en HTTPS ?
- Les certificats proposés par Icodia
Vous souhaitez être accompagné pour l’étude de solutions SSL / TLS ?
=> N’hésitez pas à nous contacter, nos équipes se tiennent à votre disposition.