image

Let's Encrypt moet honderdduizenden certificaten wegens fout intrekken

woensdag 26 januari 2022, 11:09 door Redactie, 5 reacties

Certificaatautoriteit Let's Encrypt moet honderdduizenden certificaten wegens een fout in de code die het gebruikt voor domeincontrole intrekken. Dat heeft de organisatie vandaag aangekondigd. Let's Encrypt geeft gratis tls-certificaten uit voor het opzetten van beveiligde verbindingen en identificeren van websites.

Wanneer iemand een certificaat aanvraagt controleert Let's Encrypt dat de aanvrager ook eigenaar is van het betreffende domein waarvoor het certificaat wordt uitgegeven. Deze domeincontrole vindt via een zogeheten "challenge" plaats. Let's Encrypt ondersteunt verschillende soorten challenges. Eén hiervan is TLS-ALPN-01. Deze challenge werkt op basis van speciaal gemaakte certificaten die alleen voor de verificatie worden gebruikt, ook bekend als ALPN-certificaten.

In de software die Let's Encrypt gebruikt voor het verifiëren van de certificaataanvragen werden in de implementatie van TLS-ALPN twee "onregelmatigheden" ontdekt. Daarop heeft Let's Encrypt een oplossing uitgerold. Vanwege de aangetroffen problemen moet Let's Encrypt alle via TLS-ALPN uitgegeven certificaten die voor de implementatie van de oplossing zijn uitgegeven intrekken.

Het gaat om alle certificaten die voor 26 januari zijn uitgegeven. TLS-ALPN wordt niet standaard gebruikt en is volgens Let's Encrypt voor de meeste mensen ongeschikt. Vanwege de regels voor certificaatautoriteiten heeft Let's Encrypt vijf dagen om de certificaten in te trekken, waarmee aanstaande vrijdag 28 januari wordt begonnen. Volgens Let's Encrypt gaat het om minder dan 1 procent van de actieve certificaten. De certificaatautoriteit heeft meer dan 220 miljoen actieve uitgegeven certificaten in omloop. Let's Encrypt zal waar mogelijk gedupeerde gebruikers waarschuwen.

Reacties (5)
26-01-2022, 11:42 door Anoniem
Hopelijk leest Logius ook mee: https://www.ncsc.nl/actueel/nieuws/2020/juli/8/aantal-certificaten-voldoen-niet-aan-de-afgesproken-richtlijnen. Let's Encrypt laat even zien hoe het wel moet.
27-01-2022, 10:18 door MartijnKaterbarg
Let's Encrypt zelf schat nu in op rond de 2 miljoen certificaten.

Wat betreft de regels omtrend 5 dagen: Hierover lijken de meningen nog te verschillen. Het CA/B Forum lijkt in deze juist 24 uur voor de schrijven, maar Let's Encrypt heeft een andere interpretatie in dit geval.
27-01-2022, 10:35 door Anoniem
Prutsers, focus je hierop, terwijl amazon praktisch een nsa cloud is. Ze kunnen net zo goed hun CA private key open source maken.
27-01-2022, 10:45 door Anoniem
Door MartijnKaterbarg: Let's Encrypt zelf schat nu in op rond de 2 miljoen certificaten.

Wat betreft de regels omtrend 5 dagen: Hierover lijken de meningen nog te verschillen. Het CA/B Forum lijkt in deze juist 24 uur voor de schrijven, maar Let's Encrypt heeft een andere interpretatie in dit geval.

Letsencrypt heeft ook een andere interpretatie over hoe jij je systeembeheer moet doen. En de amerikanen hebben uberhaupt schijt aan wat de overkoepelende CA organisatie vindt.
27-01-2022, 16:59 door MartijnKaterbarg
Door Anoniem:
Door MartijnKaterbarg: Let's Encrypt zelf schat nu in op rond de 2 miljoen certificaten.

Wat betreft de regels omtrend 5 dagen: Hierover lijken de meningen nog te verschillen. Het CA/B Forum lijkt in deze juist 24 uur voor de schrijven, maar Let's Encrypt heeft een andere interpretatie in dit geval.

En de amerikanen hebben uberhaupt schijt aan wat de overkoepelende CA organisatie vindt.

Dat valt nogwel mee, als er iets is worden ze vrij snel aangesproken
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.