Let’s Encrypt tilbagekalder tre millioner TLS-certifikater

Af Eskil Sørensen, 04/03/20

Fejl fundet i software til validering af domæne.

En fejl i Boulder - et stykke software, som anvendes til at tjekke om en certifikatejer er valid – medfører, at Let’s Encrypt nu tilbagekalder over tre millioner TLS-certifikater. I praksis vil det have mindre betydning for de fleste, men sidder man som systemadministrator på Let's Encrypt-certifikater, kan man risikere, at ens certifikater pludselig er gjort ugyldige. Man burde dog have fået en email fra Let’s Encrypt om det.

Lidt fakta om certifikater

Et certifikat anvendes til at validere et givent domæne og giver en bruger sikkerhed for, at domænets server er den, den giver sig ud for at være. Et certifikat udstedes af en CA, Certificate Authority, som tjekker autenticiteten af domæneejeren. Servercertifikatet verificerer således, at man taler med den aktør, som aktøren giver sig ud for at være. 

CA’en, som i dette tilfælde er Let’s Encrypt, anvender et stykke software - Boulder - til dette tjek. Konkret tjekker Boulder data ved hjælp af CAA’en (Certificate Authority Authorization), for at sikre, at en domæneejer rent faktisk har anmodet om certifikatet for domænet. Det er en fejl i den måde, Boulder-værktøjet tjekker domæneejer og -navnene på, der gør, at der trækkes tre mio. TLS-certifikater trækkes tilbage.

En række medier skriver om fejlen, herunder Version 2 og Computerworld, hvoraf sidstnævnte har et link et tredjepartsværktøj, hvor man kan tjekke om en given hjemmeside er berørt.

Transport Layer Security - TLS

Ud over autenticiteten af domæneejeren sikrer certifikatet også, at kommunikationen mellem en browser og en webserver er krypteret, så uvedkommende ikke kan aflytte den. Den mest anvendte teknologi bag dette var tidligere SSL (Secure Sockets Layer). Nu er det TLS (Transport Layer Security), der er fremherskende.

Anvendelse af certifikater er relevante for alle, dog særligt for brugere af e-handelssider. For slutbrugeren ses et certifikat ved, at URL’en på hjemmesider begynder med https, eller at der er en hængelås i browserens adresselinje.

Links:

https://www.computerworld.dk/art/250994/mere-end-tre-millioner-https-certifikater-tilbagekaldes-i-nat-se-her-om-du-er-beroert

https://www.version2.dk/artikel/lets-encrypt-maa-tilbagekalde-tre-millioner-certifikater-1090159

https://www.bleepingcomputer.com/news/security/lets-encrypt-to-revoke-3-million-tls-certificates-due-to-bug/

https://www.theregister.co.uk/2020/03/03/lets_encrypt_cert_revocation/

https://www.zdnet.com/article/lets-encrypt-to-revoke-3-million-certificates-on-march-4-due-to-bug/