Fallo en la emisión de certificados de Let’s Encrypt
La autoridad certificadora, Let’s Encrypt, ha notificado un fallo en su código CAA (Autorización de la Autoridad de Certificación), concretamente en Boulder, el software CA (Autoridad de Certificación) encargado de verificar los registros CAA al mismo tiempo que valida el control de un suscriptor de un nombre de dominio.
El incidente se produjo el 29 de febrero y fue solucionado dos horas después. Tras ello, la compañía lo notificó a sus suscriptores afectados y decidió revocar unos 3 millones de certificados TLS/SSL activos, aproximadamente un 2.6% del total, a partir del 4 de marzo.
Se ha facilitado una lista descargable con los números de serie afectados.
Referencias
- 29/02/2020 community.letsencrypt.org 2020.02.29 CAA Rechecking Bug
- 03/03/2020 community.letsencrypt.org Revoking certain certificates on March 4
- 03/03/2020 letsencrypt.org Download affected certificate serials for 2020.02.29 CAA Rechecking Incident
- 02/03/2020 unaaldia.hispasec.com Let’s Encrypt revocará millones de Certificados TLS por un fallo de seguridad
- 05/03/2020 threatpost.com Let’s Encrypt Pushes Back Deadline to Revoke Some TLS Certificates
