Un bug de Let’s Encrypt révoque 3 millions de certificats HTTPS

A peine Let’s Encrypt venait-il de fêter son premier milliard de certificats HTTPS qu’il annonce qu’un bug affecte plus de 3 millions de sites Web à l’aide de leur certificat de sécurité Let’s Encrypt.

Un bug de Let’s Encrypt révoque 3 millions de certificats HTTPS

Il a donc révoqué plus de 3 millions de certificats TLS concernés, le 4 mars 2020.

Les sites avec des certificats révoqués peuvent commencer à afficher des icônes non sécurisées dans le navigateur, ce qui peut entraîner moins de trafic et moins de ventes.

Les éditeurs de sites concernés devront présenter une nouvelle demande de certificat afin de retrouver un statut sécurisé.

L’annonce du bug de Let’s Encrypt

Let’s Encrypt a averti les clients qu’il révoquera les certificats de sécurité le 4 Mars 2020 :

Le 4 mars, nous révoquerons 2,6 % des certificats Let’s Encrypte actuellement en vigueur. Ces certificats ont été affectés par un bug de conformité. S’il vous plaît, regardez les détails sur : https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864.

En introduction de son annonce, Let’s Encrypt déclare :

En raison de la \ »2020.02.29 CAA Rechecking Bug 6.2k\ », nous avons malheureusement besoin de révoquer de nombreux certificats Let’s Encrypt TLS/SSL.

Nous envoyons par courriel aux abonnés touchés dont nous avons des coordonnées.

  • Combien de certificats sont concernés ?
    • 2,6 %. Cela représente 3 048 289 certificats actuellement valides, sur les 116 millions de l’ensemble des certificats actifs globaux Let’s Encrypt. Parmi les certificats concernés, environ 1 million sont des doublons d’autres certificats touchés, dans le sens de couvrir le même ensemble de noms de domaine.

      En raison de la façon dont ce bug a fonctionné, les certificats les plus fréquemment touchés étaient ceux qui sont réédités très fréquemment, c’est pourquoi tant de certificats sont des doublons.

  • Quand les révocations commenceront-elles ?
    • Afin de compléter les révocations avant la date limite du 5 Mars 2020, nous prévoyons de commencer à révoquer les certificats touchés le 4 Mars 2020.

      Veuillez continuer à renouveler et à remplacer les certificats touchés entre-temps. S’il y a des modifications à cette heure de début, des mises à jour seront fournies dans ce thread.

  • Comment puis-je savoir si j’utilise un certificat impacté ?
    • Voici un outil en ligne qui vous montrera: https://checkhost.unboundtest.com/

      Ou, sur un système de calibre Linux/BSD, cette commande vous montrera le numéro de série actuel du certificat example.com :

      openssl s_client -connect example.com:443 -servername example.com -showcerts /dev/null | openssl x509 -text -noout | grep -A 1 Serial\\ Number | tr -d :

      Vous pouvez voir la liste de tous les numéros de série concernés sur : https://letsencrypt.org/caaproblem/

  • J’ai reçu le courriel me disant que je devrais renouveler mon certificat, cependant, l’outil de test en ligne n’indique pas que mon certificat HTTPS doit être remplacé.
    • Même si vous avez reçu un courriel, il est possible que les certificats affectés aient été remplacés par des certificats plus récents qui ne sont pas affectés par le bug.

      Soit en raison d’avoir été émis dans les derniers jours depuis qu’il a été corrigé, ou tout simplement en ne répondant pas aux critères de synchronisation spécifiques nécessaires pour le bug pour se déclencher.

      Dans ce cas, il n’est pas nécessaire de les renouveler à nouveau. Vous pouvez utiliser l’outil de vérification pour vérifier si le certificat que vous utilisez actuellement a besoin d’être renouvelé, ou vérifier que le numéro de série du certificat que vous utilisez actuellement est présent dans la liste des certificats concernés.

Ce que tout cela signifie en pratique, c’est que si un abonné valide un nom de domaine à l’époque T, et que les enregistrements CAA pour ce domaine au moment T ont autorisé l’émission de Let’s Encrypt, cet abonné serait en mesure d’émettre un certificat contenant ce nom de domaine jusqu’au moment T + 30 jours , même si quelqu’un a plus tard installé des enregistrements CAA sur ce nom de domaine qui interdisent l’émission par Let’s Encrypt.

Source