Un fastidioso BUG ha messo in pericolo milioni di siti. Ecco cosa è successo all’autorità che rilascia certificati DV gratuiti
L’autorità di certificazione che permette di ottenere certificati DV gratuiti per tutti i siti web del mondo, ha un BUG che permetteva la certificazione automatica senza i dovuti controlli. Let’s Encrypt rilascia ogni anno milioni di certificati, e da poco ha festeggiato il traguardo del miliardo di certificati rilasciati, e un BUG potrebbe aver compromesso la sicurezza di oltre 3 milioni di siti web.
Il metodo di verifica del sito web avviene in diversi modi, tra cui la possibilità di verificarlo tramite l’aggiunta da parte dell’utente di un record DNS che permette a l’ente certificatore di rilasciare certificati per quel dominio. L’anomalia è stata proprio su questo processo di verifica poiché sono disponibili altri sistemi che non hanno questo BUG.
Il problema è nato in quanto questi 3 milioni di siti web non siano stati controllati dalla CAA (Let’s Encrypt) entro le 8 ore antecedenti il rilascio del certificato. Questo non è avvenuto, rilasciando di fatto il certificato immediatamente e questa non è la procedura corretta per rilasciare un certificato DV corretto.
Il mio sito ha BUG Certificato di Let’s Encrypt? Come verificarlo
Let’s Encrypt ha avvertito inviare un’email a tutti gli utenti interessati dal problema, chiedendo di rinnovare in breve tempo i certificati precedentemente generati per non ricevere la revoca automatica. Inoltre è disponibile questo sito dove inserendo il nome del dominio si può verificare se è affetto dalla problematica.
Un bel problema che però dovrebbe aver avuto poco impatto sui siti web, ma forse se qualche male intenzionato ha avuto accesso al vostro gestionale del sito, impostato un record DNS proprio, forse si è appropriato del certificato del vostro sito web e impossessato dei dati di navigazione dei vostri utenti. Procedura altamente difficile e improbabile.
INDICE DEI CONTENUTI
Lascia un commento
Visualizza commenti