Let's Encrypt trekt 3 miljoen certificaten in wegens softwarebug
Certificaatautoriteit Let's Encrypt gaat morgen vanwege een fout bij het uitgeven van TLS-certificaten meer dan 3 miljoen certificaten intrekken. Dat heeft de organisatie bekendgemaakt. De software van Let's Encrypt bevatte een fout bij het controleren van Certification Authority Authorization (CAA) records.
In deze records staat welke certificaatautoriteit een certificaat voor een domein mag uitgeven. Op deze manier kan de domeineigenaar aangeven van welke certificaatautoriteit of autoriteiten hij voor zijn domein gebruik wil maken. Wanneer er geen CAA-record aanwezig is kan elke certificaatautoriteit voor het domein een certificaat uitgeven.
De software van Let's Encrypt controleert eventueel aanwezige CAA-records en kan die in sommige gevallen net voor de uitgifte van het certificaat voor een tweede keer controleren. Een bug zorgde ervoor dat als de software meerdere domeinen moest controleren, één domein meerdere keren werd gecontroleerd en de andere domeinen niet.
De bug werd op 29 februari van dit jaar ontdekt. Twee minuten na de ontdekking werd de uitgifte van certificaten gestopt. Twee uur later was er een oplossing uitgerold en konden er weer certificaten worden uitgegeven. Uit voorlopig onderzoek blijkt dat de bug vermoedelijk op 25 juli 2019 is geïntroduceerd. Als gevolg worden morgen 3 miljoen certificaten ingetrokken, waarvan ongeveer 1 miljoen dubbele van andere getroffen certificaten, die dezelfde set domeinnamen beslaan.
Vanwege de manier waarop de bug zich kon voordoen zijn voornamelijk certificaten getroffen die vaak opnieuw werden uitgegeven, wat verklaart waarom zoveel getroffen certificaten dubbele zijn. Gedupeerde gebruikers van wie Let's Encrypt een e-mailadres heeft zijn door de certificaatautoriteit ingelicht.
We recently discovered a bug in the Let's Encrypt certificate authority code,
described here:
https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591
Unfortunately, this means we need to revoke the certificates that were affected
by this bug, which includes one or more of your certificates. To avoid
disruption, you'll need to renew and replace your affected certificate(s) by
Wednesday, March 4, 2020. We sincerely apologize for the issue.
If you're not able to renew your certificate by March 4, the date we are
required to revoke these certificates, visitors to your site will see security
warnings until you do renew the certificate. Your ACME client documentation
should explain how to renew.
If you are using Certbot, the command to renew is:
certbot renew --force-renewal
If you need help, please visit our community support forum:
https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864
Please search thoroughly for a solution before you post a new question. Let's
Encrypt staff will help our community try to answer unresolved questions as
quickly as possible.
Your affected certificate(s), listed by serial number and domain names:
[root@zogto ~]# ./certbot-auto --domains 1 2 3
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Cert not yet due for renewal
You have an existing certificate that has exactly the same domains or certificate name you requested and isn't close to expiry.
(ref: /etc/letsencrypt/renewal/www.xxxnnnzzz.conf)
What would you like to do?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: Attempt to reinstall this existing certificate
2: Renew & replace the cert (limit ~5 per 7 days)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for 1
http-01 challenge for 2
http-01 challenge for 3
Waiting for verification...
Challenge failed for domain 1
Challenge failed for domain 2
Challenge failed for domain 3
http-01 challenge for 1
http-01 challenge for 2
http-01 challenge for 3
Cleaning up challenges
Some challenges have failed.
IMPORTANT NOTES:
- The following errors were reported by the server:
Domain: 1
Type: connection
Detail: Fetching
Error getting validation data
Domain: 2
Type: connection
Detail:
Error getting validation data
Domain: 3
Type: connection
Detail:
Error getting validation data
To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address. Additionally, please check that
your computer has a publicly routable IP address and that no
firewalls are preventing the server from communicating with the
client. If you're using the webroot plugin, you should also verify
that you are serving files from the webroot path you provided.
Nu is het echt stuk die rommel... meestal verkloot het mijn webserver door de config te veranderen.
https://checkhost.unboundtest.com
Dat komt, omdat je niet begrijpt hoe het werkt. De methode die je gebruikt is "auto". Daarmee geeft je certbot (dat is een losstaand programma, niet Lets encrypt!) toestemming om je vhost te wijzigen. Als je "certbot certonly -d 1 2 3" gebruikt, wordt alleen het certificaat vernieuwd.
(....)
Nu is het echt stuk die rommel... meestal verkloot het mijn webserver door de config te veranderen.
Dat komt, omdat je niet begrijpt hoe het werkt. De methode die je gebruikt is "auto". Daarmee geeft je certbot (dat is een losstaand programma, niet Lets encrypt!) toestemming om je vhost te wijzigen. Als je "certbot certonly -d 1 2 3" gebruikt, wordt alleen het certificaat vernieuwd.
Was dat maar waar. Nog altijd zal dat certbot ding op eigen houtje software downloaden en installeren op je systeem!
Het is gewoon een oncontroleerbare bom.
Dat komt, omdat je niet begrijpt hoe het werkt. De methode die je gebruikt is "auto". Daarmee geeft je certbot (dat is een losstaand programma, niet Lets encrypt!) toestemming om je vhost te wijzigen. Als je "certbot certonly -d 1 2 3" gebruikt, wordt alleen het certificaat vernieuwd.
Was dat maar waar. Nog altijd zal dat certbot ding op eigen houtje software downloaden en installeren op je systeem!
Het is gewoon een oncontroleerbare bom.
Dat komt, omdat je niet begrijpt hoe het werkt. De methode die je gebruikt is "auto". Daarmee geeft je certbot (dat is een losstaand programma, niet Lets encrypt!) toestemming om je vhost te wijzigen. Als je "certbot certonly -d 1 2 3" gebruikt, wordt alleen het certificaat vernieuwd.
Was dat maar waar. Nog altijd zal dat certbot ding op eigen houtje software downloaden en installeren op je systeem!
Het is gewoon een oncontroleerbare bom.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
