Compartilhe:

Nesta quarta-feira, 4 de março, a Let’s Encrypt – autoridade de certificação digital gratuita e automatizada – irá desfazer a emissão de mais de 3 milhões de certificados SSL defeituosos.

Apenas 5 dias atrás a Let’s Encrypt comemorava a marca de 1 bilhão de certificados emitidos. Para estragar a alegria desse marco, seus técnicos acabaram de descobrir um bug que vai revogar milhões deles. Em uma postagem no fórum online do serviço, Jacob Hoffman-Andrews, técnico de suporte sênior da EFF, afirmou que o bug foi encontrado no código do ambiente Boulder, de gerenciamento automatizado de certificados da Let’s Encrypt.

O Boulder verifica os registros de Autorizações de Autoridades Certificadas (Certificate Authority Authorization, ou CAA) para garantir que o assinante da Let’s Encrypt controle os domínios para os quais estão sendo solicitados certificados HTTPS.

Com o bug, iniciado em 25 de julho de 2019, na prática o Boulder iterava, por exemplo, um grupo de 10 nomes de domínios que exigiam nova verificação do CAA e, pelo erro, verificava um domínio 10 vezes. O correto seria que ele verificasse 10 domínios de uma vez.

“A causa próxima do bug foi um erro comum no (código) Go: fazer referência a uma variável do iterador de loop”, explicou Hoffman-Andrews no relatório do bug.

Já foi feito o deploy do ajuste no código da Let’s Encrypt, porém ainda deixa uma lacuna de 3 milhões de certificados que serão revogados, dos 166 milhões afetados pelo bug.

O que é a revogação de meu certificado?

A revogação do certificado digital é o encerramento da validade antes do prazo previsto na aquisição. É possível que venha a partir do próprio usuário, da Autoridade de Registro, da Autoridade Certificadora ou da Autoridade Certificadora Raiz. No caso do bug na Let’s Encrypt, foi um problema diretamente na Autoridade Certificadora.

Como fazer para entender se este problema vai me afetar?

Os proprietários de certificados afetados foram notificados por e-mail, segundo a Let’s Encrypt, e tem até a meia-noite do horário de Nova Iorque (21h do dia 03 de março no Brasil) para renovar e substituir suas certificações.

O processo de renovação seria simples, através de uso da ferramenta de linhas de comando Certbot, mas algumas dificuldades estão sendo reportadas no fórum de discussão da Let’s Encrypt.

Uma forma simples de verificar o seu domínio é através desse link, que mostra a validade de seu certificado digital.

É hora de arregaçar as mangas e fazer aquele plantão de checagem para não gerar problemas com clientes mais à frente!