Fallo en la emisión de certificados de Let’s Encrypt

29/02/2020

La autoridad certificadora, Let’s Encrypt, ha notificado un fallo en su código CAA (Autorización de la Autoridad de Certificación), concretamente en Boulder, el software CA (Autoridad de Certificación) encargado de verificar los registros CAA al mismo tiempo que valida el control de un suscriptor de un nombre de dominio.

El incidente se produjo el 29 de febrero y fue solucionado dos horas después. Tras ello, la compañía lo notificó a sus suscriptores afectados y decidió revocar unos 3 millones de certificados TLS/SSL activos, aproximadamente un 2.6% del total, a partir del 4 de marzo.

Se ha facilitado una lista descargable con los números de serie afectados.

Referencias

29/02/2020

community.letsencrypt.org

2020.02.29 CAA Rechecking Bug
03/03/2020

community.letsencrypt.org

Revoking certain certificates on March 4
03/03/2020

letsencrypt.org

Download affected certificate serials for 2020.02.29 CAA Rechecking Incident
02/03/2020

unaaldia.hispasec.com

Let’s Encrypt revocará millones de Certificados TLS por un fallo de seguridad
05/03/2020

threatpost.com

Let’s Encrypt Pushes Back Deadline to Revoke Some TLS Certificates

Etiquetas