Un bug de Let’s Encrypt révoque 3 millions de certificats HTTPS

A peine Let’s Encrypt venait-il de fêter son premier milliard de certificats HTTPS qu’il annonce qu’un affecte plus de 3 millions de sites Web à l’aide de leur certificat de sécurité Let’s Encrypt.

Un bug de Let’s Encrypt révoque 3 millions de certificats HTTPS

Il a donc révoqué plus de 3 millions de certificats TLS concernés, le 4 mars 2020.

Les sites avec des certificats révoqués peuvent commencer à afficher des icônes non sécurisées dans le navigateur, ce qui peut entraîner moins de trafic et moins de ventes.

Les éditeurs de sites concernés devront présenter une nouvelle demande de certificat afin de retrouver un statut sécurisé.

L’annonce du bug de Let’s Encrypt

Let’s Encrypt a averti les clients qu’il révoquera les certificats de sécurité le 4 Mars 2020 :

Le 4 mars, nous révoquerons 2,6 % des certificats Let’s Encrypte actuellement en vigueur. Ces certificats ont été affectés par un bug de conformité. S’il vous plaît, regardez les détails sur : https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864.

En introduction de son annonce, Let’s Encrypt déclare :

En raison de la \ »2020.02.29 CAA Rechecking Bug 6.2k\ », nous avons malheureusement besoin de révoquer de nombreux certificats Let’s Encrypt TLS/SSL.

Nous envoyons par courriel aux abonnés touchés dont nous avons des coordonnées.

  • Combien de certificats sont concernés ?
    • 2,6 %. Cela représente 3 048 289 certificats actuellement valides, sur les 116 millions de l’ensemble des certificats actifs globaux Let’s Encrypt. Parmi les certificats concernés, environ 1 million sont des doublons d’autres certificats touchés, dans le sens de couvrir le même ensemble de noms de domaine.

      En raison de la façon dont ce bug a fonctionné, les certificats les plus fréquemment touchés étaient ceux qui sont réédités très fréquemment, c’est pourquoi tant de certificats sont des doublons.

  • Quand les révocations commenceront-elles ?
    • Afin de compléter les révocations avant la date limite du 5 Mars 2020, nous prévoyons de commencer à révoquer les certificats touchés le 4 Mars 2020.

      Veuillez continuer à renouveler et à remplacer les certificats touchés entre-temps. S’il y a des modifications à cette heure de début, des mises à jour seront fournies dans ce thread.

  • Comment puis-je savoir si j’utilise un certificat impacté ?
    • Voici un outil en ligne qui vous montrera: https://checkhost.unboundtest.com/

      Ou, sur un système de calibre Linux/BSD, cette commande vous montrera le numéro de série actuel du certificat example.com :

      openssl s_client -connect example.com:443 -servername example.com -showcerts /dev/null | openssl x509 -text -noout | grep -A 1 Serial\\ Number | tr -d :

      Vous pouvez voir la liste de tous les numéros de série concernés sur : https://letsencrypt.org/caaproblem/

  • J’ai reçu le courriel me disant que je devrais renouveler mon certificat, cependant, l’outil de test en ligne n’indique pas que mon certificat doit être remplacé.
    • Même si vous avez reçu un courriel, il est possible que les certificats affectés aient été remplacés par des certificats plus récents qui ne sont pas affectés par le bug.

      Soit en raison d’avoir été émis dans les derniers jours depuis qu’il a été corrigé, ou tout simplement en ne répondant pas aux critères de synchronisation spécifiques nécessaires pour le bug pour se déclencher.

      Dans ce cas, il n’est pas nécessaire de les renouveler à nouveau. Vous pouvez utiliser l’outil de vérification pour vérifier si le certificat que vous utilisez actuellement a besoin d’être renouvelé, ou vérifier que le numéro de série du certificat que vous utilisez actuellement est présent dans la liste des certificats concernés.

Ce que tout cela signifie en pratique, c’est que si un abonné valide un à l’époque T, et que les enregistrements CAA pour ce domaine au moment T ont autorisé l’émission de Let’s Encrypt, cet abonné serait en mesure d’émettre un certificat contenant ce nom de domaine jusqu’au moment T + 30 jours , même si quelqu’un a plus tard installé des enregistrements CAA sur ce nom de domaine qui interdisent l’émission par Let’s Encrypt.

Source

Auteur : Noel Nguessan

Je suis Noel Nguessan, fondateur du site Arobasenet.com qui existe en tant que nom de domaine depuis 2007 comme site de mon entreprise avant de devenir en 2010 un site d'information SEO à part entière. Pour ma part, j'ai été intégré le monde de l'internet 1997 en qualité de créateur de site internet, avant de devenir développeur web et multimédia au début de l'année 2000. Par la suite, après avoir exercé très tôt en free-lance auprès de plusieurs start-ups jusuq'en 2010 en tant développeur Web, je suis tout naturellement arrivé au référencement Web, notamment après avoir lu les premiers articles SEO d'Olivier Andrieux (Abondance.com) qui m'a beaucoup inspiré dans ce métier. Je lui dit merci. J'ai ainsi pu poursuivre ma carrière en travaillant discrètement en free-lance pour des agences Web qui créaient des sites mais avaient ponctuellement besoin de quelqu'un qui pouvait leur fournir des recommandations d'optimisation web en fonction de la clientèle. Je pense avoir longtemps respecté les règles de discrétion de mes apporteurs d'affaires et surtout avoir bien rempli les différentes missions à moi confiées. Aujourd'hui, la retraite se rapproche. Alors je passe le plus clair de mon temps à divulguer le marketing internet et des réseaux sociaux à travers mon site Arobasenet.com... Certes, il s'agit sur ce site de relayer des news SEO de sources anglaises, mais c'est un travaille plus que passionnant. Tant je découvre des articles d'intérêt que je partage mes fidèles lecteurs. Arobasenet.com, c'est à ce jour (Juillet 2021) : - 6.784 articles publiés depuis 2010 - Plus de 34 millions de pages vues - 300.000 pages vues en moyenne par mois.