Let’s Encrypt meldt incident wegens 1 seconde te lang geldige certificaten

[Captain Kirk]

Certificaatautoriteit heeft een incident gemeld omdat de certificaten die het uitgaf één seconde te lang geldig waren. Let's Encrypt geeft gratis tls-certificaten uit die websites voor het opzetten van een beveiligde verbinding met bezoekers kunnen gebruiken. De certificaten zijn maximaal negentig dagen geldig.

Hierbij nam de software van Let's Encrypt de uitgiftetijd en voegde daar precies 2160 uur aan toe, om zo te bepalen tot wanneer het certificaat geldig is. In Request for Comments (RFC) 5280 staat de geldigheidsduur van een certificaat echter omschreven als de periode waarbij de uitgiftetijd en eindtijd moet worden meegeteld. In het geval van Let's Encrypt werd dit niet gedaan, waardoor er certificaten werden uitgegeven die negentig dagen en één seconde geldig waren.

Aangezien de uitgegeven certificaten niet aan de regels voldoen heeft Let's Encrypt nu melding van een incident gemaakt. Het probleem werd op 8 juni aan de certificaatautoriteit gemeld, die de volgende dag een oplossing had doorgevoerd waardoor certificaten voortaan nog maar 7775999 seconden geldig zijn. Aangezien de impact van het probleem meevalt is besloten om al uitgegeven certificaten niet in te trekken.

 

bron: https://www.security.nl