Miljoenen certificaten Let's Encrypt ongeldig vanwege bug

4 maart 2020

De Boulder server software van het Let's Encrypt-project - die de gebruikers en hun domeinen verifiëert voordat een TLS-certificaat wordt uitgegeven - blijkt een fout te bevatten. Daardoor hebben domeinen een certificaat gekregen terwijl ze daar wellicht geen recht op hadden. Let's Encrypt maakt daarom nu 3 miljoen reeds uitgegeven certificaten ongeldig. 

Het Let's encrypt-project stimuleert de afgelopen jaren het gebruik van veilige internetverbindingen door het verstrekken van gratis certificaten. De beweging heeft het accent gelegd op het belang van versleutelde internetverbindingen waarbij het veel lastiger is het verkeer te onderscheppen. Meer bedrijven hebben aangehaakt bij die beweging, bijvoorbeeld Google die websites die gebruik maken van een onversleutelde verbindingen, nu een lagere positie in zoekresultaten geeft.

Vanwege het ideële karakter van het Let's Encrypt-project is het extra pijnlijk dat juist bij deze organisatie een essentiële fout in de uitgiftesoftware naar boven komt.

Check niet goed uitgevoerd
 
Het probleem deed zich voor wanneer een gebruiker meerdere domeinen tegelijk aanmeldde. De Boulder-backendsoftware bleek er dan één uit te pakken en die zoveel keer te checken als het aantal domeinen dat door die persoon op hetzelfde tijdstip werd ingediend. De certificaten werden dan afgegeven voor een periode van 30 dagen waarin geen nieuwe check wordt uitgevoerd ook al blijkt dat er iets niet deugt aan de aanvragen.

De check bestaat uit het controleren van de gegevens die een gebruiker van een domein aanlevert, bij de Certificate Authority Authorization (CAA). Er bestaat sinds 2017 een CAA-standaard waarmee certificaat-uitgevende instanties deze goedkeuring vermelden in hun certificaten. Die standaard bijkt niet goed geïmplementeerd door Let's Encrypt.

Foutmelding in de browser
 
De organisatie heeft het probleem afgelopen weekend opgelost nadat het op vrijdag was gemeld. Alle certificaten die zijn uitgegeven zonder de vereiste controlestap worden nu ingetrokken. In totaal gaat het om 2,6 procent van de 116 miljoen TLS-certificaten die Let's Encrypt inmiddels heeft uitgegeven.

Het gevolg is dat sites die van zo'n certificaat zijn voorzien vanaf vandaag als 'onveilig' worden aanmerkt door browsers. Er verschijnt een waarschuwing op het scherm en het slotje in de URL-balk kleurt rood.
 

Meer informatie