Let's Encrypt moet honderdduizenden certificaten wegens fout intrekken

[Captain Kirk]

Certificaatautoriteit Let's Encrypt moet honderdduizenden certificaten wegens een fout in de code die het gebruikt voor domeincontrole intrekken. Dat heeft de organisatie vandaag aangekondigd. Let's Encrypt geeft gratis tls-certificaten uit voor het opzetten van beveiligde verbindingen en identificeren van websites.

Wanneer iemand een certificaat aanvraagt controleert Let's Encrypt dat de aanvrager ook eigenaar is van het betreffende domein waarvoor het certificaat wordt uitgegeven. Deze domeincontrole vindt via een zogeheten "challenge" plaats. Let's Encrypt ondersteunt verschillende soorten challenges. Eén hiervan is TLS-ALPN-01. Deze challenge werkt op basis van speciaal gemaakte certificaten die alleen voor de verificatie worden gebruikt, ook bekend als ALPN-certificaten.

In de software die Let's Encrypt gebruikt voor het verifiëren van de certificaataanvragen werden in de implementatie van TLS-ALPN twee "onregelmatigheden" ontdekt. Daarop heeft Let's Encrypt een oplossing uitgerold. Vanwege de aangetroffen problemen moet Let's Encrypt alle via TLS-ALPN uitgegeven certificaten die voor de implementatie van de oplossing zijn uitgegeven intrekken.

Het gaat om alle certificaten die voor 26 januari zijn uitgegeven. TLS-ALPN wordt niet standaard gebruikt en is volgens Let's Encrypt voor de meeste mensen ongeschikt. Vanwege de regels voor certificaatautoriteiten heeft Let's Encrypt vijf dagen om de certificaten in te trekken, waarmee aanstaande vrijdag 28 januari wordt begonnen. Volgens Let's Encrypt gaat het om minder dan 1 procent van de actieve certificaten. De certificaatautoriteit heeft meer dan 220 miljoen actieve uitgegeven certificaten in omloop. Let's Encrypt zal waar mogelijk gedupeerde gebruikers waarschuwen.

 

bron: https://www.security.nl