3 millió Let’s Encrypt tanúsítvány kerül visszavonásra

 

A nagy népszerűségnek örvendő, ingyenes webes biztonsági tanúsítványt nyújtó Let’s Encrypt szerdán bejelentette, hogy egy szoftverhiba miatt vissza kell vonnia több, mint 3 millió TLS tanúsítványt. A probléma a Boulder nevű szoftverüket érinti, amelynek feladata a domain tulajdonosának ellenőrzése a tanúsítványok kiállítása előtt. A hiba komoly biztonsági kockázatot jelent, ennek kihasználásával ugyanis a támadók  hozzáférhetnek a titkosított webes forgalomhoz. A tanúsítványok visszavonása után ─ új tanúsítvány igényléséig ─ az érintett oldalak nem biztonságosként kerülnek megjelölésre a böngészőkben, illetve a weboldalak megjelenésével is problémák adódhatnak. Több tanúsítvány tulajdonost is érzékenyen érintett, hogy mindössze 24 órával a visszavonás kitűzött időpontja előtt értesültek a helyzetről, a Let’s Enrcypt azonban sietett leszögezni, hogy a rövid határidő nem döntés eredménye volt, hanem a tanúsító hatóságok (CA) kötelesek ennyi idő alatt eljárni, amennyiben problémát fedeznek fel a tanúsítványok kiállításával kapcsolatban.

(Frissítés 2020.03.06.: a Let’s Encrypt végül úgy döntött, hogy további határidőt biztosít azon tanúsítványok számára, amelyeket a tulajdonosnak nem sikerült megújítania az eredetileg kiszabott határidőig ─ ez körülbelül 1 millió tanúsítványt érint. A döntést azzal indokolták, hogy a visszavonás  összességében inkább káros hatást gyakorolna az Internetes ökoszisztémára.)

(threatpost.com)